Kimsuky APT组织利用blogspot分发恶意载荷的攻击活动分析 – 作者:奇安信威胁情报中心

概述

Kimsuky,别名Mystery Baby、Baby Coin、Smoke Screen、Black Banshe等。是疑似具有东亚国家背景的APT组织,该团伙长期针对韩国政府、新闻机构等目标发起攻击活动。该组织常用社会工程学、鱼叉邮件、水坑攻击等手段投递恶意软件,拥有功能完善的恶意代码武器库。与Konni APT组织存在基础设施重叠等关联性。

近日,奇安信红雨滴团队在日常高价值样本狩猎过程中,捕获多例疑似Kimsuky组织的攻击样本。根据红雨滴研究人员跟踪分析,此次的攻击活动有如下特点:

1.    此次发现的样本都以案件费用支付委托书为诱饵。

2.    此次活动中的样本所加载的Payload均采用多层下载链,最终使用blogspot博客系统分发最终载荷,为溯源增加了难度。

3.    文档使用恶意VBA代码,捕获到文本输入再执行核心恶意宏代码。

4.    未发现影响国内,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括威胁情报平台(TIP)、天眼高级威胁检测系统、NGSOC、奇安信态势感知等,都已经支持对此APT攻击团伙攻击活动的精准检测。

样本分析

基本信息

MD5

FileName

8de75256d0e579416263cb3c61fc6c55

악성.docm(恶毒)

0821884168a644f3c27176a52763acc9

사례비지급 의뢰서.doc(案件费用支付申请表)

95c92bcfc39ceafc1735f190a575c60c

사례비지급 의뢰서(양식).doc (案件费用支付申请表 (表格))

本次捕获的样本打开后都会直接展示诱饵内容,诱导迷惑受害者启用恶意宏。

1627284016_60fe6230a25f8fc1bc21b.png!small?1627284016918

详细分析

MD5

8de75256d0e579416263cb3c61fc6c55

创建时间

2021-07-19T08:24:00Z

创建者

USER

本文以MD5:8de75256d0e579416263cb3c61fc6c55为主要分析对象。原始样本为docx格式文件,运行后启用宏,执行恶意宏代码。

通过AutoOpen函数将标志qazwsx置为0,随后通过Selection.TypeText监控文本输入动作,执行恶意VBA函数。仅仅通过打开word是无法执行核心宏代码的,实现了一定的免杀效果。

1627284023_60fe62376dab2fec8b835.png!small?1627284023777

核心函数的功能是从http[:]//1213rt.atwebpages.com/cohb/d.php?filename=corona下载Base64数据解码后,写入到%Temp%\OneDriver.exe文件中,并使用wcript.ex执行VBS代码。

1627284030_60fe623e6157c27c12b97.png!small?1627284030659

请求到的数据如下,折叠的Afghhhah函数作为base64解码函数。

1627284039_60fe6247b46fbbe5028c0.png!small?1627284040431

以下是VBS执行后的行为。

1.创建并写入名为%appdata%\Microsoft\desktop.ini的VBS文件。

2. 在启动程序路径中创建Internet Explorer的快捷方式文件,%startup%\Internet Explorer.lnk。

3. Internet Explorer快捷方式运行 %AppData%\Microsoft\desktop.ini 文件。

以下是desktop.ini的文件内容,请求后https://kimshan600000.blogspot.com/2021/07/1.html,其网页携带的Payload解析,再次base64解码执行载荷。Payload直接嵌入到正文中。

1627284051_60fe6253375ca2751bc4a.png!small?1627284051513

1627284060_60fe625c7301cb98a616a.png!small?1627284060676

4.根据历史披露文章,最终后门是收集用户系统信息,侦察受感染的系统。

●  收集进程列表

●  收集操作系统信息

●  收集 .NET 版本信息

●  收集 Microsoft Office Excel 程序版本信息

●  收集最近的可执行文件列表

●  收集固定到任务栏的快捷方式列表

●  收集到的信息作为参数发送到攻击者服务器。

关联分析

下述样本为Kimsuky组织在过往的攻击活动中使用的样本。

MD5

95c92bcfc39ceafc1735f190a575c60c    

文件名

사례비지급 의뢰서(양식)

1627284075_60fe626b95d1d971d6fbb.png!small?1627284075945

而我们此次捕获样本与之前的已知样本在VBA执行流程,代码和攻击载荷落地极其相似。但不同的是,此次是从网络设施中下载载荷,增加了溯源的困难度和增加了查杀难度。

1627284095_60fe627f4e838b38fed1c.png!small?1627284095653

总结

Kimsuky APT组织是一个长期活跃的攻击团伙,武器库十分强大,奇安信威胁情报中心红雨滴团队将持续关注披露相关攻击活动。同时,奇安信威胁情报中心提醒用户在日常的工作中,切勿随意打开来历不明的文件,不安装未知来源的APP,提高个人网络安全意识。

奇安信红雨滴团队提醒广大用户,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行夸张的标题的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行简单判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。

目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。

1627284104_60fe6288743be3a5bba32.png!small?1627284104762

IOCS

MD5

8de75256d0e579416263cb3c61fc6c55

0821884168a644f3c27176a52763acc9

95c92bcfc39ceafc1735f190a575c60c

URL

hxxp://1213rt.atwebpages.com/cohb/d.php?filename=corona

hxxp://wbg0909.scienceontheweb.net/0412/download.php?filename=corona

hxxps://kimshan600000.blogspot.com/2021/07/1.html

hxxps://smyun0272.blogspot.com/2021/06/dootakim.html

hxxp://alyssalove.getenjoyment.net/0423/v.php

参考链接

https://asec.ahnlab.com/ko/24220/

来源:freebuf.com 2021-07-26 15:19:22 by: 奇安信威胁情报中心

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论