Nordkoreanische Hacker greifen Pharmaunternehmen an, um Malware über manipulierte Excel-Dateien zu verbreiten

Wenn ein Benutzer öffnet, was er für ein routinemäßiges Geschäftsdokument hält, startet eine Kette versteckter Skripte im Hintergrund, ohne sichtbares Anzeichen einer Infektion.

Die Angreifer scheinen einen Hersteller , der sowohl rezeptfreie als auch verschreibungspflichtige Medikamente produziert, wodurch das Köderdokument für das beabsichtigte Ziel professionell und glaubwürdig erscheint.

Analysten von Wezard4u identifizierten und untersuchten diese Malware eingehend und enthüllten, dass die .lnk-Datei als Multi-Payload-Container dient, der eine gefälschte Excel-Datei, ein PowerShell-Skript, eine JavaScript-Datei und eine Windows Task Scheduler XML enthält, die alle in einem einzigen 23.079-Byte-Shortcut verpackt sind.

Nach der Ausführung extrahiert und führt

Nach der Ausführung extrahiert und führt PowerShell jeden Bestandteil nacheinander im Hintergrund aus, wodurch die Infektion für das Opfer verborgen bleibt. Die gesamte Ausführungs-Kette folgt dem Pfad LNK zu XML zu JavaScript zu PowerShell, was eine Erkennung in jeder einzelnen Phase sehr schwierig macht.

Die breitere Auswirkung dieses Angriffs ist erheblich, da er direkt Unternehmen im Pharmasektor ins Visier nimmt, einer Branche, die sensible Forschungsdaten, Patientenakten und proprietäre Arzneimittelformeln enthält.

Kimsuky hat eine lange Geschichte bei der Zielerfassung akademischer, staatlicher und Forschungseinrichtungen, und diese Kampagne markiert eine klare Ausweitung auf den Lebenswissenschaftssektor.

Wenn Angreifer erfolgreich Fuß fassen, könnten

Wenn Angreifer erfolgreich Fuß fassen, könnten sie vertrauliche klinische Daten stehlen oder interne Kommunikation über einen längeren Zeitraum unbemerkt überwachen. Die Malware trägt Dateidetektoren, die Sicherheitsteams und Analysten für eine sofortige Erkennung nutzen können.

Die Datei heißt White Life Science ERP Specification.lnk mit einem MD5 von 5c3bf036ab8aadddb2428d27f3917b86, einem SHA-1 von e9c16aa2e322a65fc2621679ca8e7414ebcf89c0 und einem SHA-256 von d4c184f4389d710c8aefe296486d4d3e430da609d86fa6289a8cea9fde4a1166.

Im Bereich Infektion und Persistenzkette Der technisch interessanteste Teil dieses Angriffs ist, wie die Malware ihre Nutzlasten verbirgt und an den Zugriff festhält, ohne Sicherheitstools auszulösen.

PowerShell-Code in Malware enthalten (Quelle –

PowerShell-Code in Malware enthalten (Quelle – Wezard4u) Wenn das Opfer die gefälschte Excel-Datei öffnet, führt cmd.exe einen langen Befehl aus, der PowerShell über den SysWOW64-Pfad aufruft, was die 32-Bit-Version 64-Bit-Windows-System ausführt.

Dies ist beabsichtigt, da das Ausführen von 32-Bit-PowerShell auf einer 64-Bit-Maschine eine bekannte Methode ist, um bestimmte Sicherheitstools zu umgehen, die nur 64-Bit-Prozesse überwachen. opakib.ps1 Inhalt (Quelle – Wezard4u) Das PowerShell-Skript entschlüsselt dann die eingebetteten Payloads mithilfe 0xC7-Kodierung und speichert sie in einem versteckten Ordner namens C:\sysconfigs, der so benannt ist, dass er einem legitimen Windows-Systemverzeichnis ähnelt.

Es speichert zwei Schlüsseldateien: opakib.ps1 als Haupt-PowerShell-Payload und copa08o.js als JavaScript-Launcher. Die JavaScript-Datei wird dann als geplanter Task mit dem Namen „ Avast Secure Browser VPS Differential Update Ex“ registriert, wodurch sie wie ein völlig normaler und vertrauenswürdiger Browser-Update-Prozess erscheint.

Avast Security Browser Impersonation Task Scheduler

Avast Security Browser Impersonation Task Scheduler (Quelle – Wezard4u) Sobald es aktiv ist, verbindet sich opakib.ps1 über die offizielle API einen improvisierten Kommandozentrums-Server um.

Es sammelt den Domainnamen, den Benutzernamen, die Betriebssystemversion, die öffentliche IP-Adresse und eine Liste der laufenden Prozesse des Opfers, kodiert all dies dann mit RC4 und Base64, bevor es nach Dropbox hochgeladen wird.

Der Angreifer kann dann eine benutzerdefinierte Befehlsdatei in Dropbox platzieren, die das Malware herunterlädt und auf der infizierten Maschine still ausführt.

Sicherheitsteams und pharmazeutische Organisationen sollten umgehend

Sicherheitsteams und pharmazeutische Organisationen sollten umgehend die Sichtbarkeit , um zu verhindern, dass .lnk-Dateien leicht mit Excel-Dokumenten verwechselt werden.

Die Überwachung und Beschränkung der PowerShell-Ausführung über SysWOW64-Pfade, die regelmäßige Überprüfung äge und das Kennzeichnen ungewöhnlicher Dropbox-API-Verbindungen in Unternehmensnetzwerken sind alles kritische Schutzmaßnahmen.

Das Hinzufügen der oben aufgeführten File Hashes zu Endpoint Detection Platforms hilft dabei, infizierte Systeme schnell zu identifizieren und zu isolieren. Sie uns auf

Der Beitrag North Korean Hackers Attacking Drug Companies to Deploy Malware Via Weaponized Excel Files erschien zuerst auf Cyber Security News.