返回 TI 主页

概述

Kimsuky,别名Mystery Baby,Baby Coin,Smoke Screen,Black Banshe。是疑似具有东亚国家背景的APT组织,该团伙长期针对韩国政府、新闻机构等目标发起攻击活动。与Konni APT组织存在基础设施重叠等关联性。

近日,奇安信红雨滴团队在日常高价值样本狩猎过程中,捕获多例疑似Kimsuky组织的攻击样本,此次捕获的样本以伪装成文档的恶意脚本文件为主,并以2021外交部驻外公馆服役相关情况调查问卷等为诱饵名,诱导受害者打开查看,一旦脚本被打开执行后,将释放展示正常的文档信息迷惑受害者,同时将释放执行远控木马到计算机执行。

红雨滴团队高价值狩猎流程主动识别到APT团队相关样本


样本分析

基本信息

捕获的样本诱饵名均是韩语,且都采用相似的恶意脚本进行攻击,样本基本信息如下:

- -
文件名 MD5
2021 외교부 재외공관 복무관련 실태 조사 설문지.hwp.js 3a4ab11b25961becece1c358029ba611
창공모델 성능개량 체계개발사업 현장확인자료 - 협력업체 배포용.wsf 14b95dc99e797c6c717bf68440eae720

样本以2021外交部驻外公馆服役相关情况调查问卷,数据确认为诱饵。执行脚本后释放展示的诱饵文档信息如下图所示。


详细分析

两例样本执行流程完全一致,此处以样本3a4ab11b25961becece1c358029ba611为例进行分析,该样本后缀为hwp.js,以此迷惑用户点开。

脚本执行后先在本地%ProgramData%路径下新建文件0421.hwp.b64及temp.db.b64并写入base64编码后的数据。 其中0421.hwp.b64为正常(诱饵)文档编码后的数据,temp.db.b64为恶意dll文件编码后的数据。

之后恶意脚本将通过base64解码释放的文件,并将解码后的0421.hwp移动到当前目录显示以迷惑受害者,同时通过powershell执行命令调用启动temp.db。

释放temp.db为带有upx压缩壳加壳的dll文件,该dll文件基本信息如下:

- -
文件名 temp.db
MD5 80a2bb7884b8bad4a8e83c2cb03ee343
时间戳 2021:04:18 16:37:50

dll文件加载运行后,首先拷贝自身到如下路径:C:\ProgramData\Software\Microsoft\Windows\Defender\AutoUpdate.dll

接着设置注册表Software\Microsoft\Windows\CurrentVersion\Run下名为WindowsDefenderAutoUpdate的项实现开机自启动,利用regsvr32.exe加载AutoUpdate.dll后自删除。

AutoUpdate.dll启动后创建名为” DropperRegsvr32-20210418013743”的互斥体,防止多开。 互斥体名中的时间结合PE头的时间戳,我们可以猜测该木马在2021年4月18日编译。

之后向onedrive-upload.ikpoo[.]cf以POST方式发送当前上线包,内容包括当前计算机C盘序列号,当前windows版本号,系统位数,当前木马版本号: //?m=a&p1=C盘序列号&p2=windows版本号及位数-D_Regsvr32-v2.0.74(木马版本号)。

成功“通信”后,该恶意dll将尝试从服务器下载文件到C:\ProgramData\temp目录。

程序将验证下载到本地的文件头部数据是否为“%PDF-1.7..4 0 obj”,若验证成功,则第一次解密到.enc文件:

之后使用该key再进行RSA解密:

后续根据解密的指令执行进程创建,PE解密内存自加载等操作:


溯源与关联

奇安信威胁情报中心红雨滴团队结合威胁情报中心ALPHA威胁分析平台(https://ti.qianxin.com/),对此次攻击活动的手法,恶意代码等方面关联分析发现:此次攻击活动与Kimsuky APT团伙存在高度相似性,脚本样本与Kimsuky以往活动中使用的脚本一致,脚本对比代码如下图所示:

同时释放执行的DLL样本代码结构也与Kimsuky组织常用的木马相似,对比如下图所示。

综上所述,此次捕获的攻击样本幕后组织应为Kimsuky组织。


总结

Kimsuky APT组织是一个长期活跃的攻击团伙,武器库十分强大,奇安信威胁情报中心红雨滴团队将持续关注披露相关攻击活动。同时,奇安信威胁情报中心提醒用户在日常的工作中,切勿随意打开来历不明的文件,不安装未知来源的APP,提高个人网络安全意识。

目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对此类攻击的精确检测。


IOCs

3a4ab11b25961becece1c358029ba611

80a2bb7884b8bad4a8e83c2cb03ee343

10b9702f8096afa8c928de6507f7ecfe

14b95dc99e797c6c717bf68440eae720

199674e87f437bdbd68884b155346d25

onedrive-upload.ikpoo[.]cf

alps.travelmountain.ml

http://pootbal.med/ianewsonline.com/ro/ki.txt

APT KIMSUKY 东亚地区