疑似Kimsuky APT组织利用韩国外交部为诱饵的攻击活动分析 – 作者:奇安信威胁情报中心

概述

Kimsuky，别名Mystery Baby，Baby Coin，Smoke Screen，Black Banshe；是疑似具有东亚国家背景的APT组织。该团伙长期针对韩国政府、新闻机构等目标发起攻击活动。与Konni APT组织存在基础设施重叠等关联性。

近日，奇安信红雨滴团队在日常高价值样本狩猎过程中，捕获多例疑似Kimsuky组织的攻击样本，此次捕获的样本以伪装成文档的恶意脚本文件为主，并以2021外交部驻外公馆服役相关情况调查问卷等为诱饵名，诱导受害者打开查看，一旦脚本被打开执行后，将释放展示正常的文档信息迷惑受害者，同时将释放执行远控木马到计算机执行。

红雨滴团队高价值狩猎流程主动识别到APT团队相关样本

样本分析

基本信息

捕获的样本诱饵名均是韩语，且都采用相似的恶意脚本进行攻击，样本基本信息如下：

文件名	MD5
2021 외교부 재외공관 복무관련 실태 조사 설문지.hwp.js	3a4ab11b25961becece1c358029ba611
창공모델 성능개량 체계개발사업 현장확인자료 – 협력업체 배포용.wsf	14b95dc99e797c6c717bf68440eae720

样本以2021外交部驻外公馆服役相关情况调查问卷,数据确认为诱饵。执行脚本后释放展示的诱饵文档信息如下图所示。

详细分析

两例样本执行流程完全一致，此处以样本3a4ab11b25961becece1c358029ba611为例进行分析，该样本后缀为hwp.js，以此迷惑用户点开。

脚本执行后先在本地%ProgramData%路径下新建文件0421.hwp.b64及temp.db.b64并写入base64编码后的数据。

其中0421.hwp.b64为正常（诱饵）文档编码后的数据，temp.db.b64为恶意dll文件编码后的数据。

之后恶意脚本将通过base64解码释放的文件，并将解码后的0421.hwp移动到当前目录显示以迷惑受害者，同时通过powershell执行命令调用启动temp.db。

释放temp.db为带有upx压缩壳加壳的dll文件，该dll文件基本信息如下：

文件名	temp.db
MD5	80a2bb7884b8bad4a8e83c2cb03ee343
时间戳	2021:04:18 16:37:50

dll文件加载运行后，首先拷贝自身到如下路径：C:\ProgramData\Software\Microsoft\Windows\Defender\AutoUpdate.dll

接着设置注册表Software\\Microsoft\\Windows\\CurrentVersion\\Run下名为WindowsDefenderAutoUpdate的项实现开机自启动，利用regsvr3*.exe加载AutoUpdate.dll后自删除。

AutoUpdate.dll启动后创建名为” DropperRegsvr3*-20210418013743”的互斥体，防止多开。

互斥体名中的时间结合PE头的时间戳，我们可以猜测该木马在2021年4月18日编译。

之后向onedrive-upload.ikpoo[.]cf以POST方式发送当前上线包，内容包括当前计算机C盘序列号，当前windows版本号，系统位数，当前木马版本号：

//?m=a&p1=C盘序列号&p2=windows版本号及位数-D_Regsvr3*-v2.0.74（木马版本号）。

成功“通信”后，该恶意dll将尝试从服务器下载文件到C:\ProgramData\temp目录。

程序将验证下载到本地的文件头部数据是否为“%PDF-1.7..4 0 obj”，若验证成功，则第一次解密到.enc文件：

之后使用该key再进行RSA解密：

后续根据解密的指令执行进程创建，PE解密内存自加载等操作：

溯源与关联

奇安信威胁情报中心红雨滴团队结合威胁情报中心ALPHA威胁分析平台，对此次攻击活动的手法，恶意代码等方面关联分析发现：此次攻击活动与Kimsuky APT团伙存在高度相似性，脚本样本与Kimsuky以往活动中使用的脚本一致，脚本对比代码如下图所示：

同时释放执行的DLL样本代码结构也与Kimsuky组织常用的木马相似，对比如下图所示。

综上所述，此次捕获的攻击样本幕后组织应为Kimsuky组织。

总结

Kimsuky APT组织是一个长期活跃的攻击团伙，武器库十分强大，奇安信威胁情报中心红雨滴团队将持续关注披露相关攻击活动。同时，奇安信威胁情报中心提醒用户在日常的工作中，切勿随意打开来历不明的文件，不安装未知来源的APP，提高个人网络安全意识。

目前，基于奇安信威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、天擎、天眼高级威胁检测系统、奇安信NGSOC等，都已经支持对此类攻击的精确检测。

IOCs

3a4ab11b25961becece1c358029ba611

80a2bb7884b8bad4a8e83c2cb03ee343

10b9702f8096afa8c928de6507f7ecfe

14b95dc99e797c6c717bf68440eae720

199674e87f437bdbd68884b155346d25

onedrive-upload.ikpoo[.]cf

alps.travelmountain.ml

http://pootbal.med/ianewsonline.com/ro/ki.txt

来源：freebuf.com 2021-05-06 15:08:23 by: 奇安信威胁情报中心