警惕来自节假日的祝福:APT攻击组织”黑格莎(Higaisa)”攻击活动披露
2019-11-05 11:50:43 Author: www.4hou.com(查看原文) 阅读量:143 收藏

一、概述

腾讯安全御见威胁情报中心曾经在2019年年初捕获到一次有意思的攻击活动,该攻击活动一直持续到现在。根据对该组织活动中所使用的攻击技术、被攻击人员背景等分析研判,我们认为该攻击组织为来自朝鲜半岛的一个具有政府背景的APT攻击组织。

根据腾讯安全御见威胁情报中心的大数据分析发现,该组织的攻击活动至少可以追溯到2016年,而一直持续活跃到现在。该组织常利用节假日、朝鲜国庆等朝鲜重要时间节点来进行钓鱼活动,诱饵内容包括新年祝福、元宵祝福、朝鲜国庆祝福,以及重要新闻、海外人员联系录等等。

此外,该攻击组织还具有移动端的攻击能力。被攻击的对象还包括跟朝鲜相关的外交实体(如驻各地大使馆官员)、政府官员、人权组织、朝鲜海外居民、贸易往来人员等。目前监测到的受害国家包括中国、朝鲜、日本、尼泊尔、新加坡、俄罗斯、波兰、瑞士等。

对于该组织的归属,腾讯安全分析了大量样本,我们确信其来自于朝鲜半岛。对攻击背景分析后,我们认为该组织为来自韩国的一个攻击组织。从样本的技术细节、基础设施等经过详细分析后,我们尚无证据证明该组织跟韩国的另一攻击组织DarkHotel(黑店)有关联,即便是攻击对象、某些攻击手法跟DarkHotel(黑店)有一些类似。

我们决定把该组织列为来自韩国的又一独立的攻击组织,取名为"黑格莎(Higaisa)"。源于作者喜欢使用的RC4的解密密钥为“Higaisakora”,取Higaisa的英译。

“黑格莎(Higaisa)”组织攻击流程图:

image.png

目前尚不排除该组织为DarkHotel的某一分支。由于受限于样本、受控机、基础设施等等客观情况,可能在组织归属上存在一些细节的误判和遗漏,我们希望安全社区同仁来共同完善该组织的一些细节。

值得注意的是,我们曾在腾讯安全2019年上半年APT总结报告中有提及该组织的攻击活动,当时我们错误的把该组织归属到了Group123。因此也借本文对该错误归属进行勘误和致歉,同时本文也对该活动进行更为详细的活动披露。若存在错误,望安全同仁一起来指正。

“黑格莎(Higaisa)”组织攻击活动的完整技术报告,请从这里下载:

https://pc1.gtimg.com/softmgr/files/higaisa_apt_report.pdf

二、攻击过程

最初始的攻击,从邮件钓鱼开始,邮件内容如下:

image.png

邮件内容为韩语的元旦祝福:

image.png

而从后面的分析可知,在节假日发祝福邮件投递恶意文件,是该组织的惯用伎俩。

邮件的附件为一个压缩包,解压后为一个可执行文件,该可执行文件其实为一个dropper木马:

image.png

执行后,会释放并打开诱饵,以及释放恶意文件carsrvdx.sed到系统目录并通过设置注册表创建服务使得该dll以系统服务的方式开机自启动实现持久化:

image.png

image.png

其中,payload文件加密存储在资源中,释放的过程涉及简单的RC4解密,密钥为ssove0117:

image.png

释放的carsrvdx.sed实际为一个downloader,该文件首先会构造url,从http://info.hangro.net/file/start?session=[8位随机数字]&imsi=0获取要下载的文件名:

image.png

得到文件名avp.exe、avpif.exe后再构造以下URL进行下载后再构造以下URL进行下载:

http://info.hangro.net/file/start?session=[8位随机数字]&imsi=avp.exe

http://info.hangro.net/file/start?session=[8位随机数字]&imsi=avpif.exe

image.png

下载回来的文件同样需要经过简单的RC4解密,密钥为Higaisakora.0。下载回来的文件avp.exe(fca3260cff04a9c89e6e5d23a318992c),是一个基于gh0st开源远控框架修改而来远程控制木马,除了命令分发和数据包压缩算法弃用原来的之外,其他内容未发现重大改动,基本保留的原来的框架。

而命令分发部分改动较大,删除了绝大部分的命令处理函数,只保留了插件管理功能,木马的所有功能都将通过插件完成,成功下载了回来的插件为FileManager.dll(dd99d917eb17ddca2fb4460ecf6304b6,注:内存加载不落地),为文件管理插件,其命令分发与gh0st源码相似性达90%以上:

image.png

下载回来的另外一个文件为avpif.exe (77100e638dd8ef8db4b3370d066984a9),该文件的功能主要是收集系统信息,并回传。

收集的信息包括:

》系统信息:计算机硬件、系统版本、用户信息、系统补丁、网卡信息等

》网络信息:本地网络信息

》进程列表

》显示域、计算机、等共享资源的列表

》C盘文件列表

》D盘文件列表

》E盘文件列表

收集完成后加密上传到服务器中,上传url为:http://180.150.227.24/do/index.php?id=ssss

三、关联分析

通过腾讯安全御见威胁情报中心的大数据分析和挖掘,我们发现大量跟该攻击相关的样本。我们对该组织的攻击活动进行梳理,使我们对该组织的攻击活动有更深入的了解。

1、初始攻击

通过监测发现,攻击活动均为使用鱼叉邮件攻击的方式。而攻击的时间窗口基本都在重要节假日。通过发送节日祝福,附带恶意文件的方式进行攻击。

我们根据payload解密的密码" Higaisakora.0"进行搜索,搜索到了另一篇分析文章:

https://malware.prevenity.com/2018/03/happy-new-year-wishes-from-china.html

虽然无法获取该报告中的样本,但根据报告中的截图和描述,可以确定为同一木马的不同变种。而根据该文章的披露,攻击方式同样为通过在节假日发送祝福邮件,并附带恶意文件的方式:

image.png

image.png

此外,有意思的是,我们发现该邮件的发送邮箱为gov.cn的邮箱,我们猜测攻击者可能首先攻破了某gov.cn的邮箱,然后利用该邮箱继续进行钓鱼工作。同样我们发现发件人邮箱同样存在china字眼,因此我们猜测,该组织习惯利用跟中国有关的邮箱做为跳板来进行下一步的攻击。

2、攻击诱饵

诱饵的类型根据文件种类分为两类,一类为可执行文件,另一类为恶意文档类。

1)可执行文件类诱饵:

可执行文件类又分为两个类型:

类型一:伪装为图像文件或文档文件,运行后会释放相关的图片或文档

该类型的可执行文件的图标一般要么伪装成word、excel、pdf、txt、邮件等软件的图标,要么直接是图片的内容图标:

image.png

内容主要分为:

(1)传统节假日问候,如新年、元宵节、端午节、圣诞节等:

image.png

(2)朝鲜国庆、领导人纪念日等相关:

image.png

(3)新闻:

image.png

image.png

(4)其他(包括色情图片或文本):

image.png

类型一诱饵的技术特点

1、将payload及伪装文件存放在PE资源中;

2、伪装文件未加密无需解密,payload需使用RC4解密后释放;

3、字符串以局部数组的形式存储,绝大部分API函数使用动态调用;

4、释放payload后,创建系统服务将其加载执行。

此外,我们发现这些诱饵内容都非常的及时,如某一诱饵为一个新闻,讲的是牡丹峰团长玄松月在平昌冬奥会前访问韩国:

image.png

通过搜索,该新闻是2018年1月22日:

image.png

而发现的利用该诱饵攻击的另一攻击样本(fa8c53431746d9ccc550f75f15b14b97),其编译日期为1月26日:

image.png

可以发现该组织非常擅长利用最新热点新闻。

类型二:伪装成Winrar、Teamview、播放器等常用软件

image.png

如运行后,除了释放原本的安装文件外,还会释放gh0st木马:

image.png

释放文件路径:C:\WINDOWS\system32\dilmtxce32.dll,而释放的文件同样需要通过解密,密钥为HXvsEoal_s。

2)恶意文档型诱饵:

我们发现的另一个攻击母体为(a5a0bc689c1ea4b1c1336c1cde9990a4),其路径为\AppData\Roaming\Microsoft\Word\STARTUP\winhelp.wll,而该目录为word的启动文件夹,当word启动的时候,会自动加载该目录下的模块文件。因此该手法常做为office后门加载方式的重要手法。

遗憾的是,我们并未获取到相关的文档文件,因此尚不知该启动文件是执行了某一恶意文档释放的(因为有很多攻击诱饵会利用漏洞等方式释放相关恶意文件到word启动目录),还是其他的母体释放到该目录的。不过我们认为由某一恶意文档通过漏洞释放的可能性更大。

该wll文件加载后,会释放文件在%USERPROFILE%\PolicyDefinitions\MMCSnapins.exe,该文件是个downloader,下载回来的文件有3个,分别为infostealer木马,用于窃取文件目录结构;gh0st RAT插件版;另一个未知的完整功能的RAT木马。

3、解密密码

我们发现该组织非常喜欢使用RC4加密算法,如解密释放的payload,解密下载回来的文件等。我们发现他的payload的解密密码跟随着时间而进行变化,但是downloader下载回来的文件解密木马始终都为Higaisakora.0。目前其解密payload的最新使用的密码为XsDAe0601。我们整理了一份时间和密码的对应表如下(相同的密码只取了一个):

image.png

可以看到,随着时间的变化,密码也相应的进行了变化。虽然密码上并未有相应的规律可以获取,但是至少也说明了作者一直在进行更新。

4、其他文件分析

我们还在相关受控机上发现大量其他文件,相信是该组织下发用来进行持续渗透和横向移动的工具。具体如下:

1)键盘记录器

文件BioCredProv.exe(6e95c5c01f94ef7154e30b4b23e81b36)

用于记录按键、窗口信息。

2)邮件相关

out1 .exe (901e131af1ee9e7fb618fc9f13e460a7),

pdb为:E:\code\PasswordRecover\do_ok\OutlookPassRecover\Release\OutlookPassRecover.pdb

该文件的功能是outlook密码窃取,窃取的outlook账号密码保存到c:\users\public\result.dat。

文件out12.exe (08993d75bee06fc44c0396b4e643593c),pdb路径为:

E:\code\PasswordRecover\outlook\OutlookPasswordRecovery-master\OutlookPasswordRecovery\obj\Release\OutlookPasswordRecovery.pdb

该文件的功能同样为窃取outlook账号密码,窃取的信息保存为Module.log。

根据pdb的路径在github上搜索,发现了该工程:

https://github.com/0Fdemir/OutlookPasswordRecovery

image.png

image.png

跟文件里的完全一致:

image.png

3)非插件版的Gh0st RAT

之前发现的gh0st RAT均为插件版的gh0st RAT,也就是说所有功能通过插件来完成,但是我们在某台受控机上还发现一个非插件版的gh0st RAT,并且通过Installer解密数据文件.vnd后执行。

安装器的文件路径为:E:\360Rec\sun.exe(cc63f5420e61f2ee2e0d791e13e963f1)

最后解密后生成的文件

C:\\Windows\\system32\\PRT\\WinDef32.dll(c5f0336b18a1929d7bd17d09777bdc6c)就为非插件版的gh0st。

其中主命令分发,只保留了部分gh0st功能,包括文件管理、屏幕监控、键盘记录、远程Shell等,而文件管理功能,保留了gh0st RAT文件管理的全部指令,并增加了获取和设置文件时间的功能。

5、移动端木马分析

通过拓展分析,我们还发现了几个安卓木马,如검찰청(翻译:监察厅)

.apk(8d3af3fea7cd5f93823562c1a62e598a):

image.png

该apk执行后界面如下:

image.png

伪装韩国检察厅APP,主要为访问网站http://www.spo.go.kr/spo/index.jsp。

实际上该app为一个远控木马,能够实现手机截屏、GPS位置信息获取、SMS短信获取、通话录音、通讯录获取、下载木马、上传文件等功能。

6、攻击归属分析

1)攻击样本中的地域分析

我们抽取了部分样本对编译的时间戳进行了分析(不包含被篡改的):

image.png

可以发现编译的时间主要发生在上午8点后,大部分时间都在晚上23点前。按照普通人的生活习惯,我们认为可能是在东9区的攻击者。正好覆盖朝鲜半岛。

其次我们发现样本中出现的naver.com字符:

image.png

naver为韩国最大的搜索引擎和门户网站。

2)攻击对象分析:

因为诱饵内容几乎都跟朝鲜有一定的关系,包括朝鲜的国庆、朝鲜的联系人名单等;从钓鱼目标对象来看,基本都为朝鲜的外交官、海外居民、和朝有贸易往来人员等等;从受控机属性来看也几乎都为中朝贸易人员。

因此我们判断攻击的对象为与朝鲜相关的人员。

3)攻击手法

攻击手法包括钓鱼、伪装常用软件、下载插件等等,并且还具有多平台的攻击能力。

4)结论

从上述分析我们认为,攻击者可能来自朝鲜半岛,由于攻击目标为跟朝鲜相关,我们判断攻击者可能来自韩国。其次,从攻击手法、对象来看,跟韩国的另外一个APT攻击组织DarkHotel(黑店)比较类似。但是,从样本、基础设施等分析来看,我们并未发现有跟DarkHotel重叠的部分,也未有明确证据证明跟DarkHotel相关。但我们并不排除该组织或为DarkHotel的分支。

鉴于此,我们决定暂时把该攻击小组列为一个独立的攻击组织,取名为"黑格莎(Higaisa)"。源于作者喜欢使用的RC4的解密密钥为“Higaisakora”,取Higaisa的英译。归属过程可能因信息有限,或存在错误,我们希望安全同仁一起来完善该组织的更多信息。

四、总结

当节假日来临,我们往往会收到来自各地的祝福信息,尤其是单位的邮箱。但是一些别有用心的攻击者往往利用此机会,附带恶意文件进行攻击。而本次攻击主要是针对朝鲜相关的一些政治实体、人权组织、商贸等关系单位和人员,因此也有波及中国境内和朝鲜进行贸易的一些人员。

此外,该攻击组织的攻击武器库也一直在进行更新,而且除了pc端,也具有移动端攻击的能力。我们判断,该攻击活动必然还会继续进行下去,因此我们提醒相关人员,一定要提高安全意识,避免遭受不必要的损失。

五、安全建议

我们建议外贸企业及重要机构参考以下几点加强防御:

1、通过官方渠道或者正规的软件分发渠道下载相关软件;

2、谨慎连接公用的WiFi网络。若必须连接公用WiFi网络,建议不要进行可能泄露机密信息或隐私信息的操作,如收发邮件、IM通信、银行转账等;最好不要在连接公用WiFi时进行常用软件的升级操作;

3、不要打开不明来源的邮件附件、即使查看可疑文档也切勿启用宏代码;

4、及时安装操作系统补丁和Office等重要软件的补丁;

六、附录

1、IOCs

MD5:

7c94a0e412cc46db5904080980d993c3

6febd1729c49f434b6b062edf8d3e7f3

fca3260cff04a9c89e6e5d23a318992c

77100e638dd8ef8db4b3370d066984a9

dd99d917eb17ddca2fb4460ecf6304b6

7d6f2cd3b7984d112b26ac744af8428d

8d3af3fea7cd5f93823562c1a62e598a

C2:

info.hangro.net

console.hangro.net

register.welehope.com

www.phpvlan.com

wiki.xxxx.com

180.150.227.24

39.109.4.143

103.81.171.157

2、参考文章

1)https://malware.prevenity.com/2018/03/happy-new-year-wishes-from-china.html

2)https://s.tencent.com/research/report/762.html

“黑格莎(Higaisa)”组织攻击活动的完整技术报告,请从这里下载:

https://dlied6.qq.com/invc/qqpcmgr/skin/1572851347.pdf


文章来源: https://www.4hou.com/web/21399.html
如有侵权请联系:admin#unsafe.sh