最初在進行分析時，研究人員無法獲得最初的感染媒介。研究人員懷疑是通過網(wǎng)絡釣魚郵件傳播的，因為 RAR 壓縮文件名為 !PENTING_LIST OF OFFICERS.rar，很可能是郵件的附件。

RAR 壓縮文件

!PENTING_LIST OF OFFICERS.rar壓縮文件中包含兩個文件：Notice to Work-From-Home groups.pdf、062023_PENTING_LIST OF SUPERVISORY OFFICERS WHO STILL HAVE NOT REPORT.pdf.exe。

PDF 文檔文件

Notice to Work-From-Home groups.pdf這個 PDF 文件中包含一個圖片，這個圖片為顯示 PDF 文檔加載失敗的圖片。該文檔是誘餌文檔，將收件人的注意力轉移到另一個文件上，促使用戶點擊執(zhí)行另一個文件（062023_PENTING_LIST OF SUPERVISORY OFFICERS WHO STILL HAVE NOT REPORT.pdf.exe）。在 Windows 系統(tǒng)中文件擴展名是默認隱藏的，用戶很可能沒有看到 .exe擴展名，只當作打開了另一個 PDF 文件。

062023_PENTING_LIST OF SUPERVISORY OFFICERS WHO STILL HAVE NOT REPORT.pdf.exe的文件大小為 6.7MB，主要是后續(xù)感染階段的 Dropper。該可執(zhí)行文件會釋放 Microsoft Office.doc、IC.exe、power.exe、power.xml，還會通過 hXXp://185[.]225[.]68[.]37/jay/nl/seAgnt.exe下載樣本文件 seAgnt.exe。

DOC 文檔文件

該文件被存入 C:\Users\<user>\AppData\Local\Temp\Microsoft\Office并打開，這也是一個誘餌文件。某些情況下，文件會被填充內容，但分析人員在分析時發(fā)現(xiàn)的樣本文件多為空。

可執(zhí)行文件

062023_PENTING_LIST OF SUPERVISORY OFFICERS WHO STILL HAVE NOT REPORT.pdf.exe釋放 IC.exe并將其寫入 C:\ProgramData\Emisoft\Microsoft\Stream\IC.exe，該文件負責下一階段的感染。

IC.exe通過 185.225.68[.]37 下載文件 VCRUNTIME140_1.dll：

從文件名可以看出，VCRUNTIME140_1.dll應該是與 Microsoft Visual C++ Redistributable Package 相關的文件。

power.exe 與 power.xml

062023_PENTING_LIST OF SUPERVISORY OFFICERS WHO STILL HAVE NOT REPORT.pdf.exe會一起釋放 power.exe與 power.xml，而 power.exe只負責解碼與處理 power.xml。

power.xml經(jīng)過了混淆處理不易分析，將用于混淆的垃圾字符串刪除即可輕松處理該問題。

去除混淆后，很多信息都是無關緊要的，exec 標簽下的部分就是為了啟動 seAgnt.exe。

seAgnt.exe

seAgnt.exe是 GameBarFTServer.exe的重命名副本，而 GameBarFTServer.exe是微軟發(fā)布的應用程序 Xbox Game Bar Full Trust COM Server，該程序是 Windows 上運行的 Xbox Game Bar 的后臺進程。

盡管 seAgent.exe本身是良性的，但依賴的 VCRUNTIME140_1.dll卻是惡意的，這就為 DLL 文件內的惡意軟件提供了執(zhí)行機會。

VCRUNTIME140_1.dll

VCRUNTIME140_1.dll本來是一個良性 DLL 文件，是 Microsoft Visual C++ Redistributable Package 的一部分。但不幸的是，攻擊者此處將其替換為了惡意 DLL 文件。

由于 VCRUNTIME140_1.dll是 DLL 文件，必須通過另一個應用程序來幫助將其代碼加載到內存中執(zhí)行。攻擊者使用的應用程序為 seAgnt.exe，這種技術也被稱為側加載，通過劫持合法應用程序的依賴加載惡意代碼。

該文件被高度混淆，嚴重阻礙了分析人員的分析。如下所示，樣本中包含大量函數(shù)跳轉來隱藏代碼用途。

該樣本文件的反匯編分析十分困難，其主要目的是通過 hXXp://185[.]225[.]68[.]37/jay/nl/35g3498734gkb.dat獲取文件 35g3498734gkb.dat。

35g3498734gkb.dat

令人感到奇怪的是，35g3498734gkb.dat的文件哈希與 VCRUNTIME140_1.dll相同，尚不清楚為什么攻擊者要拉取兩次。

不幸的是，在分析人員進行分析時，后續(xù)階段的 Payload 已經(jīng)被刪除，因此無法得知攻擊者的完整意圖。

結論

在惡意軟件分析中最令人興奮的就是遇到一個新的家族或者罕見的家族，通過分析確定惡意軟件的功能、惡意軟件的開發(fā)者與攻擊者的攻擊意圖都是分析人員需要解決的難題。最近研究人員發(fā)現(xiàn)了名為 MidgeDropper 的 Dropper 變種，其擁有復雜的感染鏈。

IOC

2dcf00b0f6c41c2c60561ca92893a0a9bf060e1d46af426de022d0c5d23d8704 30417ca261eefe40f7c44ff956f9940b766ae9a0c574cd1c06a4b545e46f692e c22cc7111191e5a1a2010f4bc3127058bff41ecba8d753378feabee37d5b43bb 59334a6e2c5faabe3a1baf5347ba01f2419d731fcbb7ab1b021185c059c8fa6f fc40e782731b8d3b9ec5e5cf8a9d8b8126dc05028ca58ec52db155b3dadc5fc6 f26f5a52bddda5eb3245161b784b58635ffa2381818816e50b8bae9680ff88eb f43cca8d2e996ee78edf8d9e64e05f35e94a730fbe51e9feecc5e364280d8534 b3e0388f215ac127b647cd7d3f186f2f666dc0535d66797b6e1adb74f828254e 527afa0c415af005594acaac1093a1ea79e3639fa5563602497eabbae7438130
185[.]225[.]69[.]226
hXXp://185[.]225[.]68[.]37/jay/nl/VCRUNTIME140_1.dll
hXXp://185[.]225[.]68[.]37/jay/nl/seAgnt.exe
hXXp://185[.]225[.]68[.]37/jay/nl/35g3498734gkb.dat

參考來源：Fortinet