Die Analyse eines Dokuments des Bedrohungsakteurs ergab, dass beim Ausführen des Makros zwei separate PowerShell-Skripte gestartet werden. Der erste Befehl führt ein PowerShell-Skript aus, das von hxxp://139.59.46.154:3485/eiloShaegae1 bereitgestellt wird. Der Host steht möglicherweise im Zusammenhang mit Angriffen, die das Pupy RAT bedienten, ein öffentlich verfügbares plattformübergreifendes Remote-Zugriffs-Tool.

Das zweite Skript ruft VirtualAlloc auf, um einen Puffer zu erstellen, verwendet memset, um Metasploit-bezogenen Shellcode in diesen Puffer zu laden, und führt ihn über CreateThread aus. Metasploit ist ein Open-Source-Framework, das sich als Tool zur Entwicklung und Ausführung von Exploit-Code gegen entfernte Zielrechner großer Beliebtheit erfreut. Der Shellcode führt eine DWORD-XOR-Verknüpfung von 4 Bytes an einer Position vom Anfang des Shellcodes aus. Dadurch wird der Code so geändert, dass eine Schleife entsteht und die XOR-Verknüpfung 0x57 Mal fortgeführt wird.

Wenn diese Ausführung erfolgreich ist, wird mit VirtualAlloc ein Puffer erstellt und InternetReadFile in einer Schleife aufgerufen, bis alle Dateiinhalte von hxxp://45.76.128.165:4443/0w0O6 abgerufen werden. Anschließend wird dies als Zeichenkette an PowerShell zurückgegeben. PowerShell ruft daraufhin Invoke-Expression (iex) auf, um anzuzeigen, dass die erwartete Payload PowerShell ist.

Bemerkenswert ist, dass das Makro eine DownloadFile()-Funktion enthielt, die URLDownloadToFileA verwenden sollte. Diese wurde jedoch tatsächlich nie verwendet.

Basierend auf Beobachtungen im Zusammenhang mit dem bösartigen Dokument beobachteten wir nachfolgende Shell-Sitzungen, die wahrscheinlich mit Meterpreter von Metasploit in Verbindung standen und die Bereitstellung zusätzlicher Tools und Malware vor der Bereitstellung von drei Shamoon-bezogenen Dateien ermöglichte: ntertmgr32.exe, ntertmgr64.exe and vdsk911.sys.