感谢腾讯御见威胁情报中心来稿!
原文:https://mp.weixin.qq.com/s/Wnb-r7SWbGGN-XuQ8fW_jw
一、事件概述
腾讯御见威胁情报中心在2019年8月底到9月中旬,检测到一批针对疑似中韩贸易等相关人士的钓鱼攻击活动。经过分析溯源发现,疑似是Group123攻击组织的最新攻击活动。
Group123,又被称为APT37,疑似来自朝鲜的攻击组织,该组织经常攻击国内的外贸公司、在华外企高管,甚至 *** 部门。该组织最常使用鱼叉钓鱼邮件进行定向攻击,使用Nday或者0day漏洞进行木马捆绑和伪装。
二、技术细节分析
1、初始攻击
本次攻击活动虽然未获取到相关攻击邮件,但是从相关日志来进行分析,可以确定是一次邮件钓鱼攻击,使用的诱饵名字包括제안서.rar、BN-190820.rar、list of delivery.rar等。
2、恶意文件植入
本次投递的诱饵为一个rar的压缩文件,解压后为一个伪装成word图标和名字的可执行文件:
该可执行文件实际为一个下载器,该下载器的技术分析如下:
1) 具有延时执行功能:
2) 下载恶意模块,下载http://artmuseums.or.kr/swfupload/fla/1.jpg文件到%temp%\winsxz:
3) 解密文件,简单异或解密,密钥如下:
42 32 33 37 38 33 35 31 36 41 36 34 39 44 36 37
42 32 44 38 31 43 41 46 45 41 31 42 41 33 39 33
4) 设置注册表 实现开机启动木马:
3、RAT分析
下载回来的jpg文件经过解密后,为真正的RAT,文件路径为:C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\svchost.exe
该文件加了vmp壳:
执行后创建名为HD_March的互斥量,防止重复运行:
与downloader使用同样的 *** 延时运行:
通过执行命令收集计算机信息,值得注意的是收集主机文档文件信息的时候含有.hwp文件信息的收集,该文件是韩国主流办公文件生成的文档文件,具有明显的地域特征:
RAT的功能已控制码如下:
4、下发文件分析
此外,svchost还下发了一个文件C:\\Users\\Administrator\\AppData\\Local\\Temp\\mscmgr
该文件执行后,首先读取同目录下的aconfig.ini文件,从中获取C2信息:
释放{rand}.exe文件,MD5为:6f29df571ac82cfc99912fdcca3c7b4c,初步分析该文件为winrar命令行版压缩文件:
打包指定目录下的指定扩展名文件:
扫描全盘文件,打包指定扩展名的文件:
打包的文件均上传到C2上:
有意思的是,通信中存在下面的字符串,具体意义不明:
三、关联分析
1、攻击背景
由于诱饵诱饵文件中存在的韩文,而且收集的文件中包含有韩国主流办公文件生成的文档文件hwp,此外从受控机的背景可以发现为从事一些商贸的人士,且机器中出现过包含朝鲜语的文件,因此我们猜测攻击的对象为疑似跟韩国相关的贸易人士。
此外,从攻击的C2来看,都跟韩国相关,如:artmuseums.or.kr,腾讯安图检索结果如下:
而该站点为韩国博物馆的网站,因此我们猜测攻击者先攻击了该网站,然后以改站做为C2,以此来躲避查杀:
2、基础设施关联
1) 某RAT的C2:casaabadia.es,我们关联到相关文件:
相关文件为:gallery.jpg (3cc51847c2b7b20138ad041300d7d722)
通过该文件分析,我们关联到某文章:
https://www.fortinet.com/blog/threat-research/evasive-malware-campaign-abuses-free-cloud-service-targets-korean-speakers.html
虽然该文件并未明确支持组织名,但是从相关iocs的杀软家族来看为ScarCruft ,即为Group123:
2) 某些受控机在下载附件前会访问某url:www.chateau-eu.fr,具体原因不明。通过腾讯安图检索www.chateau-eu.fr如下:
而根据www.chateau-eu.fr进行反查,同样关联到另一篇文章:
该文章提到的信息跟这次攻击活动都非常相似:
如文件名svchost,但是样本无法下载,因此无法实锤;
基础设施域名重合;
url都都存在wp-content。
而该文章中提到的组织正好为Group123。
3、TTPs
从攻击手法上来看,该活动的攻击TTPs、攻击对象、攻击者背景跟Darkhotel和Group123类似。但是由于攻击对象主要为韩国,以及通过RAT下发收集文件的插件的方式,跟Group123都极为相似,因此我们猜测大概率为Group123。
4、结论
综上,我们对该次攻击定性为攻击组织Group123的新的攻击活动。
四、总结
Group123是针对中国大陆攻击活动非常频繁的一个攻击组织,该组织有使用0day进行攻击的能力,因此攻击战斗力不容小觑。虽然目前发现的一些受控机都为跟外贸相关的单位和人士,但是相关的 *** 部门也不能掉以轻心。
五、安全建议
我们建议外贸企业及重要机构参考以下几点加强防御:
3.不要打开不明来源的邮件附件、可疑文档勿启用宏代码;
4.及时打系统补丁和重要软件的补丁;
5.使用腾讯电脑管家或腾讯御点终端安全管理系统防御可能的病毒木马攻击;
6.推荐企业用户部署腾讯御界高级威胁检测系统及时捕捉黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html)
六、附录
1、IOCs
hxxp://artmuseums.or.kr/swfupload/fla/1.jpg
hxxp://fjtlephare.fr/wp-content/uploads/2018/05/null/
hxxp://casaabadia.es/ wp-content/uploads/2018/06/null/
svchost.exe(RAT)
e26c81c569f6407404a726d48aa4d886
list of delivery.doc.exe
ce4614fcf12ef25bcfc47cf68e3d008d
BN-190820.doc.exe(RAT)
94fd9ed97f1bc418a528380b1d0a59c3
plugin
b23a707a8e34d86d5c4902760990e6b1
winrar
6f29df571ac82cfc99912fdcca3c7b4c
2019-08-08.doc.exe
51da0042fe2466747e6e6bc7ff6012b2
2、参考文章
1) https://www.fortinet.com/blog/threat-research/evasive-malware-campaign-abuses-free-cloud-service-targets-korean-speakers.html
2) https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/07170728/Guerrero-Saade-Raiu-VB2017.pdf
近日,两位安全研究人员成功入侵了亿万富翁兼电影制片人 Jeffrey Katzenberg 的 Mac 计算机,意味着 macOS 设备并不能自动抵御网络威胁。虽然没有提到特定的 macOS 设备型号,深谙社会工程的 SocialProof Security 首席执行官 Rachel Tobac 还...
就在英国警方逮捕了 7 名嫌疑犯之后,近期非常猖獗的黑客组织 Lapsus$ 又有了新动作。在攻击微软、三星、NVIDIA 和 Okta 等公司之后,该组织再次宣布成功攻陷 Globant,后者是一家位于卢森堡的软件开发咨询公司。 在周三宣布自己“度假归来”之后,该组织在其 Telegram 频道...
视频链接:https://n.sinaimg.cn/sinakd20211219s/138/w600h338/20211219/9907-45d93401a89f40f888b22dc250f73fab.jpg 区块链项目Ronin发布消息称,黑客从该项目窃取价值6.15亿美元的加密货币。按照R...
一款用于窃取 Facebook 登录凭证的恶意 Android 应用目前在 Google Play 商城上已经被安装超过 10 万次,而且该应用目前仍可下载(发稿时已下架)。这款恶意程序被伪装成“Craftsart Cartoon Photo Tools”卡通化应用,允许用户上传图片并将其转换为卡通...
Hackernews 编译,转载请注明出处: 研究人员披露了 TerraMaster NAS设备的关键安全漏洞的细节,这些设备可以链接到未经身份验证的远程代码执行,且具有最高权限。 埃塞俄比亚网络安全研究公司 Octagon Networks 的 Paulos yibello 在分...
据TechCrunch报道,美国政府通过悬赏1000万美元来寻找能够识别或定位黑客组织Sandworm成员的信息,从而加大了对六名俄罗斯情报官员的追捕力度。黑客组织Sandworm的成员为俄罗斯军事情报部门GRU的一个部门工作–以对关键基础设施,包括食品供应和能源部门发起破坏性和毁灭性的网络攻击而闻...