گروههای تهدید از فایلهای Microsoft Compiled HTML Help (CHM) برای توزیع بدافزار استفاده کردهاند. یکی از نمونههای شاخص، فایلی با نام deklaracja.chm است که از کشور لهستان در VirusTotal بارگذاری شده و نشاندهندهی زنجیرهای چندمرحلهای از آلودگی است.
محتوای مخرب
فایل CHM بهعنوان یک بسته باینری شامل صفحات HTML فشرده و اشیاء مرتبط عمل کرده و پس از اجرا از طریق برنامهی پیشفرض hh.exe، یک تصویر جعلی با نام deklaracja.png نمایش میدهد. این تصویر شبیه رسید بانکی از بانک لهستانی PKO طراحی شده تا توجه کاربر را منحرف کرده و همزمان فعالیتهای مخرب در پسزمینه اجرا شوند.
تحلیل فنی
پس از استخراج فایل CHM، اجزای زیر قابل مشاهدهاند:
-
فایلهای سیستمی استاندارد CHM (با پیشوند ‘#’)
-
فایل HTML مبهمشده با نام index.htm که دارای کد جاوااسکریپت رمزگذاریشده با الگوهای obfuscator.io مانند متغیرهای
_0xو بازیابی رشتهها از طریق آرایه است -
یک فایل cabinet با نام جعلی desktop.mp3 که payload اصلی با نام unt32.dll را در خود دارد
-
تصویر فریبدهندهی deklaracja.png
درون فایل index.htm، کد جاوااسکریپت رشتهای بزرگ از دادههای هگزادسیمال را به HTML اجرایی تبدیل کرده که عملکرد زیر را دارد:
-
نمایش decoy از طریق iframe
-
استفاده از تگ <bgsound> (فقط در Internet Explorer فعال) برای اجبار به دانلود فایل desktop.mp3
-
ایجاد یک شیء ActiveX از طریق CLSID مربوط به hhctrl.ocx به شناسه
adb880a6-d8ff-11cf-9377-00aa003b7a11
این کنترل ActiveX فرآیند اجرای دستورات زیر را شبیهسازی میکند:
-
اجرای cmd.exe بهصورت minimize
-
رفتن به مسیر
%temp% -
استفاده از ابزار LOLBIN forfiles.exe برای پیدا کردن فایلهای
.tmp -
بررسی سایز فایلها (۱۸۰۷۳۸ بایت مطابق desktop.mp3)
-
استخراج DLL از طریق ابزار expand
-
اجرای آن با rundll32.exe از طریق ordinal شماره ۱
عملکرد بدافزار unt32.dll
این DLL با زبان C++ نوشته شده و از رشتههای رمزگذاریشده با الگوریتم XOR و کلید ۱۲۸ بایتی چرخشی استفاده میکند. با APIهای WinHTTP اقدام به دریافت payload از آدرس زیر میکند:
hxxps://rustyquill[.]top/shw/the-magnus-protoco1.jpg
این دامنه به پادکست Rusty Quill اشاره دارد و نشاندهنده ترفندهای مهندسی اجتماعی منطقهای است.
پس از دریافت:
-
چک میکند که سایز فایل بالای ۲۸۹۱۰۹ بایت باشد
-
بخش ابتدایی (احتمالاً هدر JPEG) را حذف میکند
-
دادههای ضمیمهشده را با همان کلید XOR رمزگشایی میکند
-
DLL رمزگشاییشده را با نام net32.dll در مسیر
AppData\Local\TaskSync\ذخیره کرده -
آن را با rundll32.exe اجرا میکند (ordinal 1)
-
برای ماندگاری از Scheduled Task مبتنی بر COM استفاده میکند
ابعاد وسیعتر
این تکنیک با کمپینهای قبلی، از جمله فایلی با نام dowód_wpłaty.zip (۷ آوریل ۲۰۲۵) که آن هم به دامنه rustyquill مرتبط بود، تطابق دارد. این نشان میدهد که با یک تهدید مداوم طرف هستیم.
تحلیلها، گروه مهاجم را به FrostyNeighbor یا UNC1151 نسبت میدهند که با بلاروس مرتبط و سابقه حمله به اوکراین، لیتوانی، لتونی، لهستان و آلمان را دارند.
روش استفاده از طعمههای بانکی و ارجاع به پادکستها، نشاندهنده مهندسی اجتماعی دقیق با هدف فریب کاربران منطقهای است.
استفاده از فایلهای تصویری با محتوای پنهان (steganography)، بهرهگیری از فرمتهای منسوخ مانند CHM و اجرای غیرمستقیم دستورات از طریق LOLBINها، راههایی برای عبور از سیستمهای دفاعی مدرن هستند.
Indicators of Compromise (IOCs)
| نوع اندیکاتور | مقدار | توضیحات |
|---|---|---|
| File SHA256 | 0d3dbaa764acb2b87ae075aa2f5f924378991b39587b0c5e67a93b10db39ddd9 |
deklaracja.chm |
| File SHA256 | 156ad4975e834355b2140d3c8fe62798fe6883364b8af1a1713f8b76c7b33947 |
index.htm |
| File SHA256 | be5a40b5622d21b46cbc87fd6c3f8ebcb536ec8480491a651c1625ee03ae2c6f |
desktop.mp3 (فایل CAB) |
| File SHA256 | f55e06a87e2a20989ddb76d9f2e3ebb303659ad306ba54e3ed7f8dcc4456d71b |
deklaracja.png (تصویر decoy) |
| URL | hxxps://rustyquill[.]top/shw/the-magnus-protoco1.jpg |
آدرس دریافت payload |
| File SHA256 | 0631696f484633f4aeb8f817af2a668806ab4dca70f006dc56fc9cd9dcda4dbe |
نمونه قبلی: dowod.chm |
| File SHA256 | 4d09fad2630ec33ab6bb45b85455c6a6ac7b52f8dae9b90736db4a5f00f72ea9 |
نمونه قبلی: dowód_wpłaty.zip |
یک نظر