相关组织:APT28  FuncyBear

类型:maldoc - dropper

来源类型:maldoc

样本时间:2021.3

样本文件:

tdp1.exe            md5,AE1E587D19250DEB40E92587B8A2188C

devtmrn.exe      md5,3537ED6D4038CA7DBC054308C40FC3E3

TermSrvClt.dll    md5,FA4B1EFD428BBF47F9C8395CA91EFF25

tpd1.exe 为一个恶意文档下载得到的dropper

devtmrn.exe 为tpd1.exe 释放的文件

TermSrvClt.dll 为tpd1.exe 释放的文件

tpd1.exe分析

https://s3-us-west-2.amazonaws.com/secure.notion-static.com/8498387b-77f0-4616-8504-5e05d09638e5/Untitled.png

第一个函数释放相关文件

第二个函数删除自身

释放路径:

%username%\AppData\Local\devtmrn.exe

%username%\AppData\Local\Microsoft\TerminalServerClient\TermSrvClt.dll

https://s3-us-west-2.amazonaws.com/secure.notion-static.com/1d915ac0-0410-4bf7-bac0-9efa48cee46c/Untitled.png