伪猎者APT组织对韩定向攻击:瞄准基金会代表和平昌和平论坛政界人士
2022-9-14 14:27:55 Author: 微步在线研究响应中心(查看原文) 阅读量:27 收藏


1
概述
伪猎者APT组织于2021年由国内安全厂商披露,据悉,其最早攻击时间可以追溯到2018年,历史攻击目标为包含中国在内的人力资源和贸易相关机构。近期微步情报局监控发现,该组织从2021年12月份至今依然活跃,在今年6月,该组织对韩国境内目标发起定向攻击活动。通过分析攻击事件,有如下发现:
  • 本批次攻击活动目标人员包括汉斯赛德尔基金会韩国代表Bernhard Seliger博士、以及可能与2022平昌和平论坛相关的政界人士。

  • 攻击事件时间节点包括两个:2022年2月上旬针对2022平昌和平论坛相关人士的攻击;2022年6月中旬对Bernhard Seliger博士的定向攻击。均为鱼叉邮件类型的攻击。

  • 攻击者用于攻击载荷托管、C&C通信的网络资产包括公开免费的云端存储站点(如bitbucket.org、statcounter.com)和攻击者私有C&C资产。木马回连地址会涉及这两类的多个url地址。

微步通过对相关样本、IP 和域名的溯源分析,提取多条相关 IOC ,可用于威胁情报检测。微步威胁感知平台 TDP 、本地威胁情报管理平台 TIP 、威胁情报云 API 、主机威胁检测与响应平台 OneEDR 、微步云沙箱互联网安全接入服务 OneDNS 等均已支持对此次攻击事件和团伙的检测。OneDNS 可以实现自动拦截阻断,通过在DNS解析环节碰撞情报,在C&C服务器反连时直接拦截恶意域名,避免真实的攻击危害发生,保护员工安全上网。
2
详情

2022年6月20日,投递到[email protected]的鱼叉邮件如下所示,攻击者伪装成韩国在校研究生论文答辩事宜,诱导目标人员下载托管在cloud.mail.ru上的恶意文件。    

  

下载文件为rar压缩文件,包含诱饵文档和恶意lnk文件。其论文相关的诱饵文档如下:
          
office中文环境导致韩语显示异常   
根据Lnk文件属性信息中机器ID:desktop-iag9k61,我们还发现伪猎者在2022年2月平昌和平论坛前期的攻击事件,其使用的诱饵文档如下:
               
在两次攻击事件中,攻击者使用的用于载荷托管、文件上传的bitbucket.org站点,用户ID包括:grand9_neat、Miravos、sorakas。当前攻击相关的存储文件均已删除。
     
3
样本分析

攻击事件中载荷执行流程如下所示,从下载落地的压缩文件开始,落地载荷可分为三部分:具备恶意下载的Lnk文件,具备文件信息收集以及下载执行的下载器木马(mssysmon.db),具备文件窃密、插件加载、shell功能的远控木马(TaskControler.dll)。后续部分将针对三类组件展开分析。     

3.1Malware Lnk

以“Online questionnaire-Exploring ways to cooperate with North Korea.docx.lnk”为例展开分析,样本信息如下:

文件名

Online questionnaire-Exploring ways to cooperate with North Korea.docx.lnk

MD5

dea29275149471685636fa063e574d57

SHA1

1a228bac4cb8c7cc9b6f9e07209632635b9588ab

SHA256

bffacbb0b54a3b1dd6f25686d2486d0a064f5e8eedefb4e572740f7b63ba4fa4

文件类型

Windows shortcut

文件大小

1.75 KB (1794 bytes)

描述

下载执行http://82.221.129.104/k0201.txt资源。

Lnk文件命令行如下,启用mshta执行远程javascript。

javascript资源经由html页面代码跳转。


跳转后的混淆javascript代码如下:


该段js代码从C&C服务器下载下阶段恶意资源,解密后并移动至%appdata%\Microsoft\Internet Explorer\UserData\Temp\mssysmon.db。  

从下载文件检索代码来看,存在的默认下载文件扩展名包括“.dib”、“.bmp”。当前C&C仅可下载bmp文件。

通过劫持CLSID为603D3801-BD81-11d0-A3A5-00C04FD706EC的COM对象实现落地木马的持久化驻留,该CLSID绑定名为“shared task scheduler”的服务,与Windows计划任务相关,其注册的dll组件在操作系统启动时加载。

            

3.2mssysmon.db

以“mssysmon.db”为例展开分析,样本信息如下:

文件名

mssysmon.db

MD5

513842f50cd9237582bb8d5c35d11686

SHA256

ee862a3d57e45a2b29da9e74987016061e225df71a558c6a42f0819cc7496664

文件类型

Win32 DLL

文件大小

244 KB (250,368 字节)

编译时间

2022年4月12日,16:32:07

描述

用户、主机、C:\Program Files\信息收集、下载执行。C&C:http://185.207.206.108/premium/P1/HTBXTDQJJHMI.bmp、

https://bitbucket.org/grand9_neat/well/downloads/19132.bmp、
https://bitbucket.org/grand9_neat/well/downloads/19164.bmp
http://162.222.214.50/temp/sourcea.php
https://c.statcounter.com/12733057/0/f9b868f1/1/
分析落地的mssysmon.db文件,其为dll文件,核心功能由tdstart导出函数提供。木马运行前通过创建名为“673304C7B2797C3676B6”的事件对象控制唯一实例运行。

解密C&C配置,其中包含多个URL地址。木马心跳间隔为6小时。

木马创建%AppData%\Microsoft\HTML Help目录,该目录作为后续插件下发以及日志存储的目录。木马收集主机名、用户名、操作系统版本,使用AES加密发送给C&C服务器上线。AES密钥为前面解密配置文件中的“8394M8YRRNK2EJRA”。

遍历c:\Program Files\目录,收集文件目录信息,发送给C&C服务器,C&C目标地址包括两个:http://162.222.214.50/temp/sourcea.php、
https://c.statcounter.com/12733057/0/f9b868f1/1/。

遍历%AppData%\Microsoft\HTML Help目录,删除.mui文件加载msiobj.dll文件。如果不存在msiobj.dll文件,则重新下载,下载地址包括:
http://185.207.206.108/premium/P1/HTBXTDQJJHMI.bmp
https://bitbucket.org/grand9_neat/well/downloads/19132.bmp
https://bitbucket.org/grand9_neat/well/downloads/19164.bmp
%AppData%\Microsoft\HTML Help目录下加载逻辑如下,将下载解密落地的msiobjs.dll重命名为msiobj0.dll,然后加载调用msiobj0.dll!ExtFunc,如果失败则将dll扩展名改为mui,进而删除mui文件。

3.3TaskControler.dll

以“TaskControler.dll”为例展开分析,样本信息如下:

文件名

TaskControler.dll

MD5

eff80f0a757f1298fb11e51480a30503

SHA1

ea1cf78ce2ad5228de02cd79f1663f2a174d050d

SHA256

7ec34297e0c4e5b1bb315be24d7259211ab658112dc0f9d6d7271544f87244e0

文件类型

Win64 DLL

文件大小

289.00 KB (295936 bytes)

编译时间

2021:11:29 04:57:32+00:00

描述

提供下载、插件加载、屏幕监控、文件窃密、shell等功能的远控木马。

C&C:160.20.147.118:80
该木马为64位dll组件,使用C++开发。TaskControler.dll!extension提供核心功能。
C++对象初始化阶段使用“83a078f58a078f7a88f37g0gf8a873a8”进行“xor 2 -1”运算得到RC4密钥“90b149c69b149c4b99c04d1dc9b940b9”,该密钥将用于后续C&C通信中通信字段加解密。

木马运行前会使用互斥体“9ABKD3409ABACL6SGHDG404HNJ0”控制唯一实例运行。

打开目录:%AppData%\Roaming\Microsoft\Vault\UserProfileRoamings
如不存在则创建该目录,并设置目录隐藏。


此后,木马遍历以下目录:%AppData%\Roaming\Microsoft\Vault\UserProfileRoamings,并根据文件扩展名运行该目录下的攻击payload。
  

文件扩展名

操作

.exe

CreateProcessW执行该EXE文件。

.dat

Powershell载荷,启动powershell进程执行.dat文件。

.db

DLL载荷,LoadLibrary加载运行。

.ext

DLL载荷,LoadLibrary加载并调用“extension”导出函数。

解密C&C 160.20.147.118。先发起 https://api.ipify.org/请求,获取公网IP。收集主机及用户相关信息进入核心木马工作逻辑。当检测判断系统启动超过六小时后,主线程进行C&C上线,设置十分钟心跳间隔,并通过事件对象信号调度工作线程。

工作线程由独立的五个线程组成,分别完成相应的任务请求、结果反馈、屏幕监控、文件窃密、RAT等功能。

调试环境木马上线包如下:

POST HTTP/1.1Content-Type: application/x-www-form-urlencoded; charset=UTF-8User-Agent:Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/5.0)Host:160.20.147.118a001=85b94efdb6112465b0588c80214d3caa&a002=82929307d33d1a103a918aca9b39b990&a003=uid&a004=N81X

对body中形如"a001=*&a002=*&a003=*&a004=*"的数据部分解析如下:

字段

解释

a001

md5("U12"),固定值,可用于木马版主标识

a002

md5(操作系统初始安装时间+HostName+UserName),可用于表示中马主机

a003

标识当前http会话功能,如为“uid”标识木马心跳包、“info”标识发送数据为中马主机信息相关,等等

a004

base64(RC4_Encrypt(data)),RC4加密、base64编码的数据。所加密数据根据a003字段不同而不同,当a003="uid",a004=base64(RC4decrypt("U12"))=N81X

木马通信中还存在"b001=*&b002=*&b003=*&b004=*"、"c001=*&c002=*&c003=*&c004=*"类型的post数据包,其分别表示解析C&C下发URL进行下载动作、文件上传相关。

文件上传部分,截图文件和文件内容的处理存在一些差异:截图文件经过base64编码、十进制字符串转化处理;文件内容则先进行RC4加密再进行十进制字符串转化处理。

RAT分发线程通过解析C&C指令,可实现文件目录遍历、磁盘信息收集、进程结束、DLL加载、截图、下载、进程执行、文件或目录删除以及cmd shell等功能。

完整RAT解析如下:

指令

功能

cd

进入指定目录

ddir

目录下文件信息收集

ddel

删除文件或目录

procspawn

进程执行

proclist

进程列表收集

prockill

进程结束

ld

加载dll

attach

加载dll

detach

卸载dll

download

下载、AES解密

downfree

解析URL资源下载

screenupload

上传屏幕截图

screenauto

自动截图

upload

激活文件窃密线程

cancel

cmd shell

支持加密文件下载,下载文件落地路径为%temp%\wcts66889.tmp,需进行AES解密处理。AES128 key={21 A4 47 12 68 5A 8B A4 29 85 78 3B 67 88 39 99}。
C&C接收shell通过本地命名管道“\\.\pipe\async_pipe”传输,然后调用cmd执行。

4
关联分析
本次样本与之前发现伪猎者攻击事件中落地载荷执行流程基本一致,第三阶段组件TaskControler.dll与历史事件具有相同导出函数、代码行为和通信过程基本一致。下图为伪猎者历史攻击时间分析截图,其中DLL载荷导出函数“extension”、“%AppData%\Roaming\Microsoft\”下的伪造payload组件目录以及payload遍历加载逻辑几乎完全一致。将该攻击样本归因到伪猎者较为可信。
引自https://www.secrss.com/articles/36606

公众号内回复“WL”,可获取附录 IOC。


---End---

内容转载与引用

1. 内容转载,请微信后台留言:转载+转载平台

2. 内容引用,请注明出处:以上内容引自公众号“微步在线研究响应中心”

点击下方,关注我们
第一时间获取最新的威胁情报


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MTc3ODY4Mw==&mid=2247496261&idx=1&sn=5ab5d6f5f227168d0d78e2ec97b685be&chksm=cfca9151f8bd1847a6d5d18fd4d422a161ba965b036afef22855a4f83cac4d3e658f8474898c#rd
如有侵权请联系:admin#unsafe.sh