概述
Kimsuky,别名Mystery Baby,Baby Coin,Smoke Screen,Black Banshe。疑似具有东北亚背景,主要针对韩国,俄罗斯进行攻击活动,最早由卡巴斯基披露。韩国安全公司认为其与Group123存在部分重叠。
美国2020大选竞争激烈,也引起了全世界的关注。近日奇安信威胁情报中心红雨滴团队在日常高级威胁狩猎中,捕获东北亚地区的Kimsuky APT组织以美国大选为诱饵的攻击样本,该样本以美国总统大选预测为标题,诱导受害者点击执行,同时采用在HWP文档中嵌入VBS脚本方式,有效的绕过杀软检测,该样本在首次上传到VirusTotal时,没有杀软检测到其恶意代码。
样本分析
基本信息
MD5 | 3fb0cfe3cc84fc9bb54c894e05ebbb92 |
文件创建时间 | 2020/11/01 02:23 |
文件名 | 미국 대선 예측 - 미주중앙일보.hwp |
诱饵文档以近期美国大选相关内容为诱饵,诱导受害者执行其样本,其内容包含英语,韩文两种文字,文档诱饵信息如下:
同时采用在hwp文档中嵌入vbs脚本方式,有效的绕过一些杀软检测。
详细分析
利用奇安信威胁情报中心自研文件深度解析引擎对样本进行解析,解析结果如下:
样本中嵌入的OLE对象较为隐秘,直接无法查看
当受害者点击相关位置文字时,将执行嵌入的vbs脚本从http://xeoskin.co.kr/wp/wp-includes/SimplePie/Net/cross.php?op=1获取恶意载荷执行。下载的恶意载荷首先更改注册表中office的VBA安全设置为启动所有宏。
之后通过cmd执行systeminfo,ipconfig,tasklist来收集当前用户的系统信息,进程列表信息,再通过枚举特定目录获取用户的安装程序信息,将所有信息保存到%appdata%\Microsoft\Network\sr011.xml中,再使用certutil.exe的encode命令加密保存到同目录的conv.xml后,设置content-type为multipart/form-data;boundary=----1f341c23b5204上传到http://xeoskin.co.kr/wp/wp-includes/SimplePie/Net/report.php。之后删除掉本地保存信息的xml文件。
接着创建名为AhnlabUpdate的计划任务实现驻留,计划任务会每一个小时访问http://xeoskin.co.kr/wp/wp-includes/SimplePie/Net/suf.hta,进行后续的载荷下载执行。
suf.hta执行后会再次访问http://xeoskin.co.kr/wp/wp-includes/SimpIePie/Net/cross.php?op=3获取后续载荷执行。
op=3返回的代码会检查%appdata%\Microsoft\Network\sr011.xml是否还存在,如果还存在则再次通过certutil.exe的encode命令进行加密上传。最后启动powershell执行http://xeoskin.co.kr/wp/wp-includes/SimpIePie/Net/cross.php?op=2返回的以base64编码的powershell命令执行后续恶意代码。遗憾的是在分析时候未能获取到后续恶意代码。
溯源关联
与Kimsuky的关联
奇安信威胁情报中心红雨滴团队结合威胁情报中心ALPHA平台等内部数据,对此次攻击活动关联拓展发现,此次捕获的样本与Kimsuky历史活动中样本攻击手法相似。
与C2通信代码几乎完全一致。
拓展
近期,红雨滴安全研究员还捕获多个Kimsuky组织常用远控攻击样本,相关信息如下:
MD5 | C2 |
9465a1a8cd418b8737e4c1f7dbe919f7 | eastsea.or.kr |
ae47cd69cf321640d7eebb4490580681 | upload.bigfile-nate.pe.hu |
3d235aa8f66ddeec5dc4268806c22229 | help.mappo-on.life |
10b9702f8096afa8c928de6507f7ecfe | upload.mydrives.ml |
df14d5c8c7a1fb5c12e9c7882540c3c0 | check.sejong-downloader.pe.hu |
总结
KimsukyAPT组织是一个长期活跃的攻击团伙,武器库十分强大,拥有针对多个平台的攻击能力,近几日,正是美国总统大选的最后时限,全球聚焦,此时利用相关诱饵极具诱惑性,奇安信威胁情报中心红雨滴团队将持续关注披露相关攻击活动。同时,奇安信威胁情报中心提醒用户在日常的工作中,切勿随意打开来历不明的邮件附件,不安装未知来源的APP,提高个人网络安全意识。
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对此类攻击的精确检测。
IOCs
3fb0cfe3cc84fc9bb54c894e05ebbb92
9465a1a8cd418b8737e4c1f7dbe919f7
ae47cd69cf321640d7eebb4490580681
3d235aa8f66ddeec5dc4268806c22229
10b9702f8096afa8c928de6507f7ecfe
df14d5c8c7a1fb5c12e9c7882540c3c0
http://xeoskin.co.kr/wp/wp-includes/SimplePie/Net/report.php
http://xeoskin.co.kr/wp/wp-includes/SimplePie/Net/suf.hta
http://xeoskin.co.kr/wp/wp-includes/SimpIePie/Net/cross.php?op=3
http://xeoskin.co.kr/wp/wp-includes/SimpIePie/Net/cross.php?op=2
http://xeoskin.co.kr/wp/wp-includes/SimpIePie/Net/cross.php?op=1
eastsea.or.kr
upload.bigfile-nate.pe.hu
help.mappo-on.life
upload.mydrives.ml
check.sejong-downloader.pe.hu
声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
