最初在進(jìn)行分析時(shí)，研究人員無法獲得最初的感染媒介。研究人員懷疑是通過網(wǎng)絡(luò)釣魚郵件傳播的，因?yàn)?RAR 壓縮文件名為 !PENTING_LIST OF OFFICERS.rar，很可能是郵件的附件。

RAR 壓縮文件

!PENTING_LIST OF OFFICERS.rar壓縮文件中包含兩個(gè)文件：Notice to Work-From-Home groups.pdf、062023_PENTING_LIST OF SUPERVISORY OFFICERS WHO STILL HAVE NOT REPORT.pdf.exe。

PDF 文檔文件

Notice to Work-From-Home groups.pdf這個(gè) PDF 文件中包含一個(gè)圖片，這個(gè)圖片為顯示 PDF 文檔加載失敗的圖片。該文檔是誘餌文檔，將收件人的注意力轉(zhuǎn)移到另一個(gè)文件上，促使用戶點(diǎn)擊執(zhí)行另一個(gè)文件（062023_PENTING_LIST OF SUPERVISORY OFFICERS WHO STILL HAVE NOT REPORT.pdf.exe）。在 Windows 系統(tǒng)中文件擴(kuò)展名是默認(rèn)隱藏的，用戶很可能沒有看到 .exe擴(kuò)展名，只當(dāng)作打開了另一個(gè) PDF 文件。

062023_PENTING_LIST OF SUPERVISORY OFFICERS WHO STILL HAVE NOT REPORT.pdf.exe的文件大小為 6.7MB，主要是后續(xù)感染階段的 Dropper。該可執(zhí)行文件會(huì)釋放 Microsoft Office.doc、IC.exe、power.exe、power.xml，還會(huì)通過 hXXp://185[.]225[.]68[.]37/jay/nl/seAgnt.exe下載樣本文件 seAgnt.exe。

DOC 文檔文件

該文件被存入 C:\Users\<user>\AppData\Local\Temp\Microsoft\Office并打開，這也是一個(gè)誘餌文件。某些情況下，文件會(huì)被填充內(nèi)容，但分析人員在分析時(shí)發(fā)現(xiàn)的樣本文件多為空。

可執(zhí)行文件

062023_PENTING_LIST OF SUPERVISORY OFFICERS WHO STILL HAVE NOT REPORT.pdf.exe釋放 IC.exe并將其寫入 C:\ProgramData\Emisoft\Microsoft\Stream\IC.exe，該文件負(fù)責(zé)下一階段的感染。

IC.exe通過 185.225.68[.]37 下載文件 VCRUNTIME140_1.dll：

從文件名可以看出，VCRUNTIME140_1.dll應(yīng)該是與 Microsoft Visual C++ Redistributable Package 相關(guān)的文件。

power.exe 與 power.xml

062023_PENTING_LIST OF SUPERVISORY OFFICERS WHO STILL HAVE NOT REPORT.pdf.exe會(huì)一起釋放 power.exe與 power.xml，而 power.exe只負(fù)責(zé)解碼與處理 power.xml。

power.xml經(jīng)過了混淆處理不易分析，將用于混淆的垃圾字符串刪除即可輕松處理該問題。

去除混淆后，很多信息都是無關(guān)緊要的，exec 標(biāo)簽下的部分就是為了啟動(dòng) seAgnt.exe。

seAgnt.exe

seAgnt.exe是 GameBarFTServer.exe的重命名副本，而 GameBarFTServer.exe是微軟發(fā)布的應(yīng)用程序 Xbox Game Bar Full Trust COM Server，該程序是 Windows 上運(yùn)行的 Xbox Game Bar 的后臺(tái)進(jìn)程。

盡管 seAgent.exe本身是良性的，但依賴的 VCRUNTIME140_1.dll卻是惡意的，這就為 DLL 文件內(nèi)的惡意軟件提供了執(zhí)行機(jī)會(huì)。

VCRUNTIME140_1.dll

VCRUNTIME140_1.dll本來是一個(gè)良性 DLL 文件，是 Microsoft Visual C++ Redistributable Package 的一部分。但不幸的是，攻擊者此處將其替換為了惡意 DLL 文件。

由于 VCRUNTIME140_1.dll是 DLL 文件，必須通過另一個(gè)應(yīng)用程序來幫助將其代碼加載到內(nèi)存中執(zhí)行。攻擊者使用的應(yīng)用程序?yàn)?nbsp;seAgnt.exe，這種技術(shù)也被稱為側(cè)加載，通過劫持合法應(yīng)用程序的依賴加載惡意代碼。

該文件被高度混淆，嚴(yán)重阻礙了分析人員的分析。如下所示，樣本中包含大量函數(shù)跳轉(zhuǎn)來隱藏代碼用途。

該樣本文件的反匯編分析十分困難，其主要目的是通過 hXXp://185[.]225[.]68[.]37/jay/nl/35g3498734gkb.dat獲取文件 35g3498734gkb.dat。

35g3498734gkb.dat

令人感到奇怪的是，35g3498734gkb.dat的文件哈希與 VCRUNTIME140_1.dll相同，尚不清楚為什么攻擊者要拉取兩次。

不幸的是，在分析人員進(jìn)行分析時(shí)，后續(xù)階段的 Payload 已經(jīng)被刪除，因此無法得知攻擊者的完整意圖。

結(jié)論

在惡意軟件分析中最令人興奮的就是遇到一個(gè)新的家族或者罕見的家族，通過分析確定惡意軟件的功能、惡意軟件的開發(fā)者與攻擊者的攻擊意圖都是分析人員需要解決的難題。最近研究人員發(fā)現(xiàn)了名為 MidgeDropper 的 Dropper 變種，其擁有復(fù)雜的感染鏈。

IOC

2dcf00b0f6c41c2c60561ca92893a0a9bf060e1d46af426de022d0c5d23d8704 30417ca261eefe40f7c44ff956f9940b766ae9a0c574cd1c06a4b545e46f692e c22cc7111191e5a1a2010f4bc3127058bff41ecba8d753378feabee37d5b43bb 59334a6e2c5faabe3a1baf5347ba01f2419d731fcbb7ab1b021185c059c8fa6f fc40e782731b8d3b9ec5e5cf8a9d8b8126dc05028ca58ec52db155b3dadc5fc6 f26f5a52bddda5eb3245161b784b58635ffa2381818816e50b8bae9680ff88eb f43cca8d2e996ee78edf8d9e64e05f35e94a730fbe51e9feecc5e364280d8534 b3e0388f215ac127b647cd7d3f186f2f666dc0535d66797b6e1adb74f828254e 527afa0c415af005594acaac1093a1ea79e3639fa5563602497eabbae7438130
185[.]225[.]69[.]226
hXXp://185[.]225[.]68[.]37/jay/nl/VCRUNTIME140_1.dll
hXXp://185[.]225[.]68[.]37/jay/nl/seAgnt.exe
hXXp://185[.]225[.]68[.]37/jay/nl/35g3498734gkb.dat

參考來源：Fortinet