针对平昌冬奥会的恶意软件攻击分析

来自麦克菲公司的安全研究人员称，黑客已把目标瞄准了即将召开的2018年冬季奥运会——平昌奥运。12月22日起，许多与此次赛事相关的组织都陆续遭到鱼叉式钓鱼攻击。攻击者伪装成韩国国家反恐中心，其目的是窃取敏感信息或财务数据。

电子邮件附件是一个恶意微软Word文档，原文件名为농식품부, 평창 동계올림픽 대비 축산악취 방지대책 관련기관 회의 개최.doc（“由农林部和平昌冬奥会组织”）。

攻击分析

恶意文档会指导用户启用内容

该文档包含一个混淆的Visual Basic宏：

当用户点击“启用内容”，恶意文档将启动PowerShell脚本。该文档是由“John”于12月27日15:52创建。

恶意文档会启动以下PowerShell脚本

在命令行手动执行PowerShell脚本。

该脚本远程下载、读取映像文件，并获取、执行植入在映像文件中的隐蔽PowerShell植入脚本。

攻击者使用12月20日发布的开源工具Invoke-PSImage将PowerShell脚本嵌入到映像文件中。 该隐写工具通过将脚本的字节嵌入到映像文件的像素中，使攻击者能够将恶意PowerShell代码隐藏在远程服务器上的可见映像中。以下脚本可确定为由Invoke-PSImage生成，以便远程执行图像中攻击者植入物。

最初的PowerShell脚本。

包含隐藏PowerShell代码的图像。

为了验证隐写的使用，我们使用了StegExpose工具来检查文件：

结果证实我们的文件中存在隐藏数据。

脚本一旦运行，它将解码后的脚本从映像文件传递到Windows命令行的变量$ x，该变量使用cmd.exe执行混淆脚本并通过PowerShell运行。

&&set xmd=echo iex (ls env:tjdm).value ^| powershell -noni -noex -execut bypass -noprofile -wind hidden – && cmd /C%xmd%

提取的脚本严重伪装，联合使用了字符串格式运算符混淆和其他基于字符串的混淆技术。

混淆的PowerShell植入脚本。

攻击者的目标是令分析变得困难，并规避依靠模式匹配的检测技术。 由于混淆在PowerShell中使用本地函数，因此脚本可以在混淆状态下运行并正常工作。

混淆的控制服务器。

当我们混淆控制服务器的URL时，植入物通过SSL与以下站点建立连接：

hxxps://www.thlsystems.forfirst.cz:443/components/com_tags/views/login/process.php.

根据我们的分析，这种植入方式为攻击者的服务器建立了一个加密通道，可能使攻击者能够在受害者机器上执行命令并安装额外的恶意软件。 最终，这个PowerShell植入物将被设置为，通过计划任务（如下所示）每天在凌晨2点自动启动。view.hta包含相同的基于PowerShell的植入，并通过SSL与以下链接建立远程连接:

hxxps://200.122.181.63:443/components/com_tags/views/news.php.

C:\Windows\system32\schtasks.exe” /Create /F /SC DAILY /ST 14:00 /TN “MS Remoute Update” /TR C:\Users\Ops03\AppData\Local\view.hta

view.hta的内容

Apache服务器日志（从2017年12月29日起）。

植入物建立一个加密通道，连接以下URL路径：

hxxps://www.thlsystems.forfirst.cz:443/components/com_tags/views/admin/get.php

2017年12月30日的图像。

12月22日起，恶意文档将PowerShell植入以HTA文件的形式直接嵌入到Word文档中。 McAfee 威胁研究分析师发现了另一个托管在此域名的文档，它的原始标题是위험 경보 (전국야생조류 분변 고병원성 AI(H5N6형) 검출).docx（来自农林部）。 本文档由同一作者“John”于12月22日创建。文档不包含宏，而是嵌入式HTA文件的OLE流。 当点击韩语docx图标时，它启动嵌入的HTA文件Error733.hta。 该文件包含相同的脚本代码来启动PowerShell植入，如view.hta示例。

一个依赖OLE流的早期恶意文件。

攻击总结

这种情况下，基本方法是使用PowerShell的内存植入以及混淆来逃避检测，这是网络攻击中常用且日益流行的无文件技术。

来自韩国国家反恐怖主义委员会的欺诈电子邮件地址

使用韩语

要求用户打开内容，因为文档处于保护模式

将原韩国农林部门域名部分用于注册恶意域名

威胁研究小组发现，越来越多攻击者使用武器化Word文档攻击韩国受害者，而不是传统的攻击方法，即使用利用了韩文文字处理软件漏洞的武器化文档。