A Microsoft descobriu uma nova campanha com uma sofisticada cadeia de infeção, apresentando o notório FlawedAmmyy RAT como carga final. O ataque começa com um email que contém anexos .XLS e o conteúdo do email é apresentado no idioma coreano.
Campanhas anteriores que envolvem o FlawedAmmyy RAT são realizadas por agentes de ameaças TA505, após a execução bem-sucedida da backdoor, o invasor pode controlar a máquina remotamente, aceder aos ficheiros da máquina infetada e capturar screenshots remotos.
[SI-LAB] FlawedAmmyy Leveraging Undetected XLM Macros as an Infection Vehicle
Neste caso em concreto, o ficheiro maliciosos XLS é entregue por mail e quando executado ele automaticamente lança uma função macro que executa o Windows Installer msiexe.exe usado para descarregar pacotes MSI e MSP.
Anomaly detection helped us uncover a new campaign that employs a complex infection chain to download and run the notorious FlawedAmmyy RAT directly in memory. The attack starts with an email and .xls attachment with content in the Korean language. pic.twitter.com/PQ2g7rvDQm
— Microsoft Security Intelligence (@MsftSecIntel) June 21, 2019
O ficheiro MSI contém um executável assinado digitalmente que é extraído e executado, decfira e executa outro ficheiro executável wsus.exe na memória, que, por sua vez, decifra e executa o último stage na memória.
O último stage que é entregue diretamente na memória é o FlawedAmmyy, de acordo com o Microsoft Security Intelligence. O FlawedAmmyy assinado digitalmente usando um certificado de assinatura de código emitido pelo Thawte para a empresa Dream Body Limited. Parece que o RAT foi assinado e carimbado em 19 de junho e as amostras detetadas em 22 de junho.
2019-06-22: 📺#FlawedAmmyy #RAT 👾🐀 | #Signed
Digital Cert 🔏-> [Dream Body Limited] #Thawte
C2: 169.239.128. 185
h/t @malwrhunterteam
🔦Recompiled AmmyAdmin v3🤔
Seems every day they leverage new malware signing 📈certs for campaigns in🇰🇷
MD5: fb5a09e073324e99b979831a98b120b0 pic.twitter.com/oYT96blamA— Vitali Kremez (@VK_Intel) June 22, 2019
As principais funções do FlawedAmmyy são:
- Remote Desktop control
- File system manager
- Proxy support
- Audio Chat
No início deste ano, o APT TA505 distribuiu o FlawedAmmyy RAT por meio de documentos MS Excel com macro do Excel 4.0 que são dificeis de ser detectadas por controlos padrão de segurança.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.