图1:歹意文件 这份拷贝精巧的Excel文件，不但布景印上了美国标志，还在文档底部写上了“最高秘要”。尽管进犯者努力使文档看起来具有说服力，但他们好像疏忽了文档中留传的一些西里尔语的成分(比方作业簿的称号)，而这或许会协助咱们提醒进犯源的更多信息。

图2：感染链 一旦宏启用，有两个文件将从XLSM文档中的十六进制编码单米格中被提取。第一个文件是一个合法的AutoHotkeyU32.exe程序，另一个则是AutoHotkeyU32.ahk，它是一个AHK脚本，担任向C＆C服务器发送POST恳求，并可以接纳其他AHK脚本URL用以下载和履行。 别的，有三个不同的AHK脚本在服务器上等候响应以敞开下一阶段： · hscreen.ahk：担任截取受害者PC的屏幕截图并将其上传到C＆C服务器。 · hinfo.ahk：将受害者的用户名和计算机信息发送到C＆C服务器。 · htv.ahk：下载并履行TeamViewer的歹意版别，并将登录凭证发送到C＆C服务器。 歹意TeamViewer DLL（TV.DLL）经过DLL side-loading技能加载，用于经过钩住程序调用的Windows API为TeamViewer增加更多“功用”。 修正的功用包含: · 躲藏TeamViewer的接口，这样用户就不会知道它正在运转。 · 将当时TeamViewer会话凭证保存到文本文件中。 · 答应传输和履行额定的EXE或DLL文件。

图3:MoveFileW函数钩子:增加payload“履行”和“注入”功用。 进犯方针 如上一节所述，AutoHotKey脚本的首要用处之一是从受感染的PC上传屏幕截图。 这些截图上传到的目录是露出的，可以经过阅读特定的URL检查:

图4:翻开带有受害者截图的目录 可是，这些截屏文件会定时从服务器中删去，并且终究“open directory”视图会被禁用。 在那之前，咱们可以确认此次进犯的部分受害者，由于大多数截屏都包含了身份信息。 依据咱们在自己的遥测中观察到的方针，以及从服务器上收集到的信息，咱们可以列出部分方针国家的名单: · 尼泊尔 · 圭亚那 · 肯尼亚 · 意大利 · 利比里亚 · 百慕大 · 黎巴嫩 只是看它针对的国家名单，很难判别这场运动背面是否有地缘政治动机，由于它针对的不是某个特定区域，并且受害者来自世界各地。 不过，观察到的受害者名单显现，进犯者对公共金融部分特别感兴趣，由于他们好像都是进犯者“精心选择”的税务部分官员。 举动溯源 咱们观察到，该进犯者在其以往的进犯举动中都用到了TeamViewer的木马化版别，但歹意DLL的特性以及感染的第一阶段都跟着时刻的推移发生了改变。 传达 要挟行为者运用的初始感染载体也跟着时刻的推移而发生改变，在2019年，咱们曾在他制作的多起进犯事例中看到过自解压档案的多种用处，而不是运用AutoHotKey向用户显现钓饵图画的歹意文档。 例如，自解压档案“Положениеопрокуратурегорода（приказомпрокуроракрая）_25.12.2019.DOC.exe”（翻译成“市检察官办公室法令”（按区域检察官的指令）_25.12.2019.DOC.exe”）显现图画如下：

图6:钓饵图片 这张相片显现的是哈萨克斯坦的官员，发布于哈萨克斯坦外交部网站。该可履行文件的原始称号及其显现的内容好像都标明，它的方针是俄语受害者。 还有其他一些举动也是针对俄语人群的，其间就有一份兵器化的Excel文档中提到了需求启用宏才干显现文件完好的俄语内容：

图7:钓饵文件 SHA-256: 67d70754c13f4ae3832a5d655ff8ec2c0fb3caa3e50ac9e61ffb1557ef35d6ee 启用宏后文件将显现金融相关内容: [1][2][3]黑客接单网