Documentos RTF em mongol exploram falhas do Equation Editor do Microsoft Word para instalar intel.wll, manter persistência no diretório de inicialização do Word e carregar uma cadeia modular de DLLs com RAT em memória.
| Componente | Documentos RTF maliciosos, Microsoft Word com Equation Editor vulnerável, ferramenta RoyalRoad 7.x, DLL intel.wll, loader minisdllpub.dll e módulo RAT carregado em memória. |
| Vetor | Abertura de arquivos RTF em idioma mongol, um deles apresentado como relacionado ao Ministério das Relações Exteriores da Mongólia, com exploração de vulnerabilidades do Equation Editor e persistência via pasta %APPDATA%\Microsoft\Word\STARTUP. |
| Impacto | Execução de cadeia modular de malware, download e descriptografia de estágios adicionais, comunicação com C2 em janela diária limitada e carregamento de um RAT customizado por meio de DLLs. |
| Prioridade | Huntar intel.wll no diretório de inicialização do Word, revisar execução de DLLs via Word e comando operacional omitido, bloquear documentos RTF suspeitos e validar telemetria contra mutex, infraestrutura defangada e nomes internos dos loaders. |
| Artefatos | RoyalRoad 7.x, intel.wll, http_dll, Rundll32Templete.dll, Minisdllpub.dll, minisdllpublog.dll, wincore.dll, exportações Engdic, WSSet, MSCheck e função exportada e no payload final. |
| IoCs | Infraestrutura observada incluiu 95.179.242[.]6, 95.179.242[.]27 na porta 443 e dw.adyboh[.]com; a campanha também apresentou o mutex Afx:DV3ControlHost. |
A campanha Vicious Panda explorou o medo gerado pela COVID-19 como tema de engenharia social para atingir o setor público da Mongólia com documentos RTF em idioma mongol. A cadeia começa com arquivos preparados por uma versão 7.x da ferramenta RoyalRoad, usada para inserir objetos maliciosos que acionam vulnerabilidades do Equation Editor do Microsoft Word. O objetivo técnico da primeira etapa não era apenas executar código uma vez, mas instalar uma DLL com extensão WLL chamada intel.wll dentro da pasta de inicialização do Word, criando uma forma de persistência acoplada ao ciclo normal de abertura do aplicativo Office.
A operação não se limita a um documento isolado. A análise dos estágios adicionais mostra uma arquitetura de malware em módulos, com loader, descriptografia de conteúdo remoto, execução via comando operacional omitido, comunicação com servidores C2 e carregamento final de um RAT customizado em memória. A infraestrutura, os nomes internos dos componentes, a reutilização de padrões de comunicação e a correlação com amostras anteriores conectam a campanha a operações que remontam a pelo menos 2016, com alvos citados na Mongólia, Ucrânia, Rússia e Belarus. A atribuição permanece condicionada pelos artefatos observados: o uso de RoyalRoad e do nome intel.wll sozinho não sustenta conclusão forte, mas os loaders e a relação com amostras associadas ao RAT BYEBY elevam a consistência da ligação técnica.
A infecção é iniciada quando a vítima abre um RTF especialmente construído. O documento explora falhas do Equation Editor e deposita intel.wll em %APPDATA%\Microsoft\Word\STARTUP. Essa localização é significativa porque o Word carrega arquivos WLL presentes no diretório de inicialização sempre que o aplicativo é executado. Com isso, a cadeia depende de uma nova execução do Word para completar o fluxo, característica que também dificulta algumas análises automatizadas em sandbox quando o ambiente não reproduz a reinicialização do aplicativo.
Após ser carregada, a DLL intel.wll baixa e descriptografa o próximo estágio a partir de 95.179.242[.]6. Esse segundo estágio também é uma DLL e funciona como loader principal do framework de malware. Ele é executado por comando operacional omitido e passa a se comunicar com 95.179.242[.]27, na porta 443, para receber funcionalidades adicionais. A operação do C2 foi descrita como restrita a poucas horas por dia, o que reduz a janela de coleta de payloads, quebra parte das tentativas de análise dinâmica e pode gerar falsos negativos em ambientes que só observam a amostra fora do horário operacional do operador.
O loader Minisdllpub.dll cria o mutex Afx:DV3ControlHost e prepara estruturas internas para armazenar informações do sistema, como nome do computador, endereços IP, usuário e versão do sistema operacional. Em seguida, monta outra estrutura com ponteiros para DLLs e funções de API carregadas dinamicamente, além do endereço do C2 e da porta de comunicação. Essa abordagem reduz dependências explícitas no binário e desloca parte da lógica para resolução dinâmica, uma prática comum em malware que busca dificultar análise estática e assinatura simples.
Quando o servidor responde, o segundo estágio recebe uma DLL codificada por XOR com chave 0x51, decodifica o payload e carrega o PE diretamente na memória. O módulo final expõe uma função chamada e, usada como ponto de entrada para comandos repassados pelo loader intermediário. O detalhe mais relevante para engenharia reversa é que o RAT não conversa diretamente com o C2 de forma isolada: ele depende das estruturas e dos ponteiros de função preparados pelo estágio anterior. Sem o contexto do loader, a análise do payload final fica incompleta, porque parte das chamadas de API e dos dados de ambiente é herdada do módulo intermediário.
A superfície principal envolve estáções Windows com Microsoft Word vulnerável às falhas exploradas pelo Equation Editor e usuários capazes de abrir documentos RTF recebidos como material institucional ou temático sobre COVID-19. O alvo descrito foi o setor público da Mongólia, mas a infraestrutura e as amostras correlacionadas indicam uso de técnicas semelhantes contra setores e países diferentes em campanhas anteriores. O risco prático se concentra em ambientes que permitem abertura de RTF não confiável, mantêm Office desatualizado ou não monitoram a pasta de inicialização do Word.
A presença de intel.wll no diretório de inicialização do Word é um ponto de exposição particularmente útil para defesa porque une persistência, acionamento por aplicativo legítimo e execução de DLL fora de um caminho comum de software corporativo. Também há superfície em controles de rede que tratam conexões HTTPS de endpoint como tráfego normal sem inspeção por reputação, periodicidade, destino e processo de origem. Como os C2s foram operados em janelas curtas, a ausência de conexão no momento da análise não elimina a possibilidade de comprometimento anterior.
- Estáções com Microsoft Word capaz de carregar WLLs a partir de
%APPDATA%\Microsoft\Word\STARTUP. - Usuários que receberam ou abriram RTFs em mongol com tema de infecções por novo coronavírus.
- Ambientes que não bloqueiam exploração do Equation Editor ou não aplicaram correções de Office relacionadas a esse componente.
- Endpoints com execução de DLL via comando operacional omitido originada de artefatos baixados e descriptografados pela cadeia de malware.
- Redes que permitiram comunicação com 95.179.242[.]6, 95.179.242[.]27 ou domínios como dw.adyboh[.]com sem correlação com processo de origem.
A investigação defensiva deve começar por persistência no Office. A presença de intel.wll ou de qualquer WLL incomum no caminho de inicialização do Word deve ser tratada como sinal de alto valor, principalmente quando acompanhada de abertura recente de RTF, execução subsequente de comando operacional omitido e conexões de rede para infraestrutura externa. A análise deve correlacionar criação de arquivo, processo pai, linha de tempo de abertura do Word e tráfego de saída em intervalos compatíveis com a janela diária de operação do C2.
No endpoint, a caça também deve considerar o mutex Afx:DV3ControlHost, carregamento de DLLs sem assinatura confiável, resolução dinâmica de APIs e módulos com nomes internos associados aos loaders identificados. Em rede, os endereços 95.179.242[.]6 e 95.179.242[.]27 devem ser tratados como indicadores defangados para retro-hunting histórico, não como lista exaustiva de infraestrutura. A observação de diretórios abertos em servidores de payload, como ocorreu com 95.179.242[.]6 e depois dw.adyboh[.]com, sugere que a defesa deve procurar também padrões de download de arquivos criptografados e mudanças temporais na disponibilidade de conteúdo remoto.
- Criação ou modificação de
intel.wllem%APPDATA%\Microsoft\Word\STARTUPapós abertura de documento RTF. - Execução de comando operacional omitido carregando DLLs recém-baixadas ou localizadas em diretórios de usuário.
- Mutex
Afx:DV3ControlHostem processos relacionados à cadeia de infecção. - Conexões de endpoint para 95.179.242[.]6, 95.179.242[.]27 na porta 443 ou dw.adyboh[.]com em períodos próximos à abertura de documentos suspeitos.
- Amostras ou metadados contendo nomes internos como
http_dll,Rundll32Templete,Minisdllpub,minisdllpublog,wincore.dll, exportaçõesEngdic,WSSet,MSCheckou a stringV09SS0lO. - Arquivos RTF com objetos incorporados associados a exploração do Equation Editor e temática de COVID-19 usada como isca institucional.
A contenção deve priorizar a remoção da persistência no Word, a preservação de evidências e o bloqueio de comunicação com a infraestrutura conhecida. Em uma estáção suspeita, a ordem defensiva é isolar o host, coletar artefatos do diretório de inicialização do Word, registrar árvore de processos, módulos carregados, conexões de rede e eventos de criação de arquivos, e só então erradicar a DLL maliciosa. Como o RAT pode ser carregado em memória por um loader intermediário, a simples exclusão do arquivo inicial sem reinicialização controlada e varredura de processos pode deixar evidências voláteis sem coleta.
A mitigação preventiva passa por correções do Microsoft Office relacionadas ao Equation Editor, bloqueio ou inspeção reforçada de RTFs recebidos de fora da organização, monitoramento da pasta de inicialização do Word e regras de detecção para execução anômala de WLLs. Em ambientes públicos ou diplomáticos, a defesa deve tratar temas de crise sanitária e comunicações institucionais como vetores prováveis de isca, reforçando validação de remetente, sandbox com reabertura controlada do Word e correlação entre documento, processo e rede. A rotação de credenciais deve ser considerada se a telemetria indicar execução do RAT, coleta de informações de ambiente ou comunicação bem-sucedida com C2, embora o material analisado não confirme quais dados foram efetivamente extraídos.
- Aplicar correções do Microsoft Office que removem a exposição do Equation Editor usada por documentos RTF maliciosos.
- Bloquear ou submeter RTFs externos a análise em ambiente que reproduza a reabertura do Microsoft Word.
- Monitorar e restringir gravação de WLLs em
%APPDATA%\Microsoft\Word\STARTUP. - Criar detecções para
intel.wll,Minisdllpub.dll, mutexAfx:DV3ControlHost, execução de DLL via comando operacional omitido e conexões com os indicadores defangados citados. - Revisar logs históricos de proxy, EDR e DNS para 95.179.242[.]6, 95.179.242[.]27 e dw.adyboh[.]com, considerando que a infraestrutura podia ficar ativa apenas por poucas horas ao dia.
- Em hosts confirmados, coletar memória e módulos carregados antes da limpeza, porque o payload final é carregado dinamicamente e depende de estruturas criadas pelo estágio anterior.
0 Comentários