A Microsoft descobriu uma nova campanha com uma sofisticada cadeia de infeção, apresentando o notório FlawedAmmyy RAT como carga final. O ataque começa com um email que contém anexos .XLS e o conteúdo do email é apresentado no idioma coreano.
Campanhas anteriores que envolvem o FlawedAmmyy RAT são realizadas por agentes de ameaças TA505, após a execução bem-sucedida da backdoor, o invasor pode controlar a máquina remotamente, aceder aos ficheiros da máquina infetada e capturar screenshots remotos.
[SI-LAB] FlawedAmmyy Leveraging Undetected XLM Macros as an Infection Vehicle
Neste caso em concreto, o ficheiro maliciosos XLS é entregue por mail e quando executado ele automaticamente lança uma função macro que executa o Windows Installer msiexe.exe usado para descarregar pacotes MSI e MSP.
Anomaly detection helped us uncover a new campaign that employs a complex infection chain to download and run the notorious FlawedAmmyy RAT directly in memory. The attack starts with an email and .xls attachment with content in the Korean language. pic.twitter.com/PQ2g7rvDQm
— Microsoft Security Intelligence (@MsftSecIntel) June 21, 2019
O ficheiro MSI contém um executável assinado digitalmente que é extraído e executado, decfira e executa outro ficheiro executável wsus.exe na memória, que, por sua vez, decifra e executa o último stage na memória.
O último stage que é entregue diretamente na memória é o FlawedAmmyy, de acordo com o Microsoft Security Intelligence. O FlawedAmmyy assinado digitalmente usando um certificado de assinatura de código emitido pelo Thawte para a empresa Dream Body Limited. Parece que o RAT foi assinado e carimbado em 19 de junho e as amostras detetadas em 22 de junho.
2019-06-22: 📺#FlawedAmmyy #RAT 👾🐀 | #Signed
Digital Cert 🔏-> [Dream Body Limited] #Thawte
C2: 169.239.128. 185
h/t @malwrhunterteam
🔦Recompiled AmmyAdmin v3🤔
Seems every day they leverage new malware signing 📈certs for campaigns in🇰🇷
MD5: fb5a09e073324e99b979831a98b120b0 pic.twitter.com/oYT96blamA— Vitali Kremez (@VK_Intel) June 22, 2019
As principais funções do FlawedAmmyy são:
- Remote Desktop control
- File system manager
- Proxy support
- Audio Chat
No início deste ano, o APT TA505 distribuiu o FlawedAmmyy RAT por meio de documentos MS Excel com macro do Excel 4.0 que são dificeis de ser detectadas por controlos padrão de segurança.