一、事件概述

腾讯御见威胁情报中心在2019年8月底到9月中旬,检测到一批针对疑似中韩贸易等相关人士的钓鱼攻击活动。经过分析溯源发现,疑似是Group123攻击组织的最新攻击活动。

Group123,又被称为APT37,疑似来自朝鲜的攻击组织,该组织经常攻击国内的外贸公司、在华外企高管,甚至政府部门。该组织最常使用鱼叉钓鱼邮件进行定向攻击,使用Nday或者0day漏洞进行木马捆绑和伪装。

二、技术细节分析

1.初始攻击

本次攻击活动虽然未获取到相关攻击邮件,但是从相关日志来进行分析,可以确定是一次邮件钓鱼攻击,使用的诱饵名字包括제안서.rar、BN-190820.rar、list of delivery.rar等。

2、恶意文件植入

本次投递的诱饵为一个rar的压缩文件,解压后为一个伪装成word图标和名字的可执行文件:

该可执行文件实际为一个下载器,该下载器的技术分析如下:

1)具有延时执行功能:

2)下载恶意模块,下载http://artmuseums.or.kr/swfupload/fla/1.jpg文件到%temp%\winsxz:

3)解密文件,简单异或解密,密钥如下:

    42 32 33 37 38 33 35 31 36 41 36 34 39 44 36 3742 32 44 38 31 43 41 46 45 41 31 42 41 33 39 33

    4)设置注册表 实现开机启动木马:

    3、RAT分析

    下载回来的jpg文件经过解密后,为真正的RAT,文件路径为:C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\svchost.exe

    该文件加了vmp壳:

    执行后创建名为HD_March的互斥量,防止重复运行:

    与downloader使用同样的方法延时运行:

    通过执行命令收集计算机信息,值得注意的是收集主机文档文件信息的时候含有.hwp文件信息的收集,该文件是韩国主流办公文件生成的文档文件,具有明显的地域特征:

    RAT的功能已控制码如下:

    ControlCode1

    ControlCode2

    行为

    SLEEP

    interval

    Sleep指定时间

    RUNCMD

    cmdline

    CMD Shell

    url

    SETBURL

    burl

    下载相关

    rurl

    remove

    EXEC

    src

    执行文件

    dst

    crypt

    UPLOAD

    type

    上传文件相关

    url

    extlist

    dirlist

    4、下发文件分析

    此外,svchost还下发了一个文件C:\\Users\\Administrator\\AppData\\Local\\Temp\\mscmgr

    该文件执行后,首先读取同目录下的aconfig.ini文件,从中获取C2信息:

    释放{rand}.exe文件,MD5为:6f29df571ac82cfc99912fdcca3c7b4c,初步分析该文件为winrar命令行版压缩文件:

    打包指定目录下的指定扩展名文件:

    扫描全盘文件,打包指定扩展名的文件:

    打包的文件均上传到C2上:

    有意思的是,通信中存在下面的字符串,具体意义不明:

    三、关联分析

    1、攻击背景

    由于诱饵诱饵文件中存在的韩文,而且收集的文件中包含有韩国主流办公文件生成的文档文件hwp,此外从受控机的背景可以发现为从事一些商贸的人士,且机器中出现过包含朝鲜语的文件,因此我们猜测攻击的对象为疑似跟韩国相关的贸易人士。

    此外,从攻击的C2来看,都跟韩国相关,如:artmuseums.or.kr,腾讯安图检索结果如下:

    而该站点为韩国博物馆的网站,因此我们猜测攻击者先攻击了该网站,然后以改站做为C2,以此来躲避查杀:

    2、基础设施关联

    1)某RAT的C2:casaabadia.es,我们关联到相关文件:

    相关文件为:gallery.jpg (3cc51847c2b7b20138ad041300d7d722)

    通过该文件分析,我们关联到某文章:

    https://www.fortinet.com/blog/threat-research/evasive-malware-campaign-abuses-free-cloud-service-targets-korean-speakers.html

    虽然该文件并未明确支持组织名,但是从相关iocs的杀软家族来看为ScarCruft ,即为Group123:

    2)某些受控机在下载附件前会访问某url:www.chateau-eu.fr,具体原因不明。通过腾讯安图检索www.chateau-eu.fr如下:

    而根据www.chateau-eu.fr进行反查,同样关联到另一篇文章:

    该文章提到的信息跟这次攻击活动都非常相似:

    • 如文件名svchost,但是样本无法下载,因此无法实锤;

    • 基础设施域名重合;

    • url都都存在wp-content

    而该文章中提到的组织正好为Group123。

    3、TTPs

    从攻击手法上来看,该活动的攻击TTPs、攻击对象、攻击者背景跟Darkhotel和Group123类似。但是由于攻击对象主要为韩国,以及通过RAT下发收集文件的插件的方式,跟Group123都极为相似,因此我们猜测大概率为Group123。

    4、结论

    综上,我们对该次攻击定性为攻击组织Group123的新的攻击活动。

    四、总结

    Group123是针对中国大陆攻击活动非常频繁的一个攻击组织,该组织有使用0day进行攻击的能力,因此攻击战斗力不容小觑。虽然目前发现的一些受控机都为跟外贸相关的单位和人士,但是相关的政府部门也不能掉以轻心。

    五、安全建议

    我们建议外贸企业及重要机构参考以下几点加强防御:

    1.通过官方渠道或者正规的软件分发渠道下载相关软件;

    2.谨慎连接公用的WiFi网络。若必须连接公用WiFi网络,建议不要进行可能泄露机密信息或隐私信息的操作,如收发邮件、IM通信、银行转账等;最好不要在连接公用WiFi时进行常用软件的升级操作;

    3.不要打开不明来源的邮件附件、可疑文档勿启用宏代码;

    4.及时打系统补丁和重要软件的补丁;

    5.使用腾讯电脑管家或腾讯御点终端安全管理系统防御可能的病毒木马攻击;

    6.推荐企业用户部署腾讯御界高级威胁检测系统及时捕捉黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html)

    六、附录

    1、IOCs

    hxxp://artmuseums.or.kr/swfupload/fla/1.jpg

    hxxp://fjtlephare.fr/wp-content/uploads/2018/05/null/

    hxxp://casaabadia.es/ wp-content/uploads/2018/06/null/

    svchost.exe(RAT)

    e26c81c569f6407404a726d48aa4d886

    list of delivery.doc.exe

    ce4614fcf12ef25bcfc47cf68e3d008d

    BN-190820.doc.exe(RAT)

    94fd9ed97f1bc418a528380b1d0a59c3

    plugin

    b23a707a8e34d86d5c4902760990e6b1

    winrar

    6f29df571ac82cfc99912fdcca3c7b4c

    2019-08-08.doc.exe

    51da0042fe2466747e6e6bc7ff6012b2

    2、参考文章

    1)https://www.fortinet.com/blog/threat-research/evasive-malware-campaign-abuses-free-cloud-service-targets-korean-speakers.html

    2)https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/07170728/Guerrero-Saade-Raiu-VB2017.pdf

    声明:本文来自腾讯御见威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。