Andariel组织利用Apache ActiveMQ漏洞安装NukeSped后门

AhnLab 安全应急响应中心 (ASEC) 在监控 Andariel 威胁组织最近的攻击时，发现了一个攻击案例，其中 Andariel 组织被认为利用 Apache ActiveMQ 远程代码执行漏洞 (CVE-2023-46604) 安装恶意软件。

据了解，Andariel 威胁组织主要针对国内公司和机构，与 Lazarus 威胁组织或 Lazarus 组织的子组织合作。针对国内目标的攻击首次确认于2008年，主要目标是国防、政治组织、造船、能源、通信等与安全相关的领域。当然，位于韩国的其他公司和机构，例如大学、交通和ICT公司，也是攻击目标。

Andariel 威胁组织历史上曾使用鱼叉式网络钓鱼攻击、水坑攻击和供应链攻击，最近还使用 Log4Shell 漏洞、针对管理不当的 MS-SQL 服务器的攻击以及利用合法软件。也正在被证实。

目前，没有直接日志，但推测 Andariel 组织正在利用 Apache ActiveMQ 服务器上的远程代码执行漏洞安装 NukeSped 和 TigerRat 后门。在这里，我们总结了针对 Apache ActiveMQ 服务器的攻击案例，以及推测 Andariel 组织滥用它们进行攻击的理由。

1. Apache ActiveMQ漏洞攻击示例

CVE-2023-46604 是开源消息传递和集成模式服务器 Apache ActiveMQ 服务器中的远程代码执行漏洞。如果未打补丁的Apache ActiveMQ服务器暴露在外部，攻击者就可以通过远程执行恶意命令来控制系统。

该漏洞信息公开后，各类攻击者纷纷利用该漏洞安装恶意软件，其中代表性的例子就是Rapid7披露的HelloKitty勒索软件攻击。该案例也在该公司的AhnLab智能防御（ASD）日志中得到证实，这意味着国产系统也成为了CVE-2023-46604漏洞的攻击目标。

图 1.HelloKitty 勒索软件安装尝试日志

在 ASEC 监控 Andariel 组织的攻击过程中，已确认 Andariel 组织过去使用的 NukeSped 后门安装在特定系统上。调查结果显示，系统中安装了Apache ActiveMQ服务器，并确认自2023年10月下旬CVE-2023-46604漏洞信息披露以来，存在包括HelloKitty勒索软件在内的各种攻击日志。

图 2. 在受感染系统上发现的各种攻击日志

攻击者在利用该漏洞的过程中使用了以下恶意Java类文件，该恶意软件最终负责在Windows或Linux环境中下载并安装额外的payload。该恶意软件是 Huntress 最近的报告中确认的攻击示例。

图 3. 负责下载程序功能的恶意 Java 类文件。

除了这些已知的攻击之外，Cobalt Strike 和 Metasploit Meterpreter 的 Stager 安装日志也得到了证实。这表明，虽然CVE-2023-46604漏洞的信息披露时间很短，但未打补丁的系统在如此短的时间内就成为大量攻击的目标。

图4. Metasploit Meterpreter的Stager安装日志

图 5. CobaltStrikeParser 提供的 Cobalt Strike Beacon 配置数据

2. NukeSped 恶意软件 – Andariel 组织

2.1. CVE-2023-46604漏洞攻击情况

在分析针对 Apache ActiveMQ 的各种攻击的系统时，发现安装了 Andariel 组织的 NukeSped 后门的系统。虽然没有直接日志显示利用CVE-2023-46604漏洞安装了NukeSped，但除了针对该漏洞的攻击外，没有确认其他攻击情况，并且在攻击期间也确认了恶意软件安装日志。 Andariel 组织可能在攻击中使用了 CVE-2023-46604 漏洞。

自10月底确认首次利用CVE-2023-46604漏洞的攻击以来，所分析的系统一直是连续攻击的目标。具体来说，Rapid7报告中提到的HelloKitty勒索软件和Huntress报告中提到的下载器恶意软件被一起确认，因此推测它是一个易受攻击的Apache ActiveMQ服务器。Huntress 的报告没有提及具体的恶意软件，但利用 CVE-2023-46604 漏洞从 URL“hxxp://27.102.128[.]152:8098/bit[.]ico”安装恶意负载。也被介绍了。

这个地址就是上一篇博客中提到的URL，是TigerRat的下载地址。此外，正如以下日志中所确认的，这是下载“oracle.exe”恶意软件的地址，也是C&C服务器地址。虽然恶意软件没有被收集，但 TigerRat 是以“rang.exe”和“load.exe”的名称安装的。

图 6. 用于安装 TigerRat 的地址

当然，Andariel组织在过去的攻击中经常使用Log4Shell漏洞和TeamCity漏洞等公开披露的漏洞。

2.2. NukeSped 后门

NukeSped 是一种后门恶意软件，可以通过接收来自 C&C 服务器的命令来控制受感染的系统。主要被 Lazarus 组织和 Andariel 组织用来控制受感染系统，攻击中使用的 NukeSped 类似于博客《利用资产管理程序检测攻击的情况》中介绍的“NukeSped 变种 – Type 1” （安达利尔集团）”过去。类似。

此次使用的NukeSped仅支持三个命令：文件下载/命令执行/终止正在运行的进程。在之前的攻击案例中，NukeSped 支持更多命令，但除此之外，大部分功能是相同的。

与典型的 NukeSped 类型类似，所使用的 API 的地址和字符串在执行过程中都经过加密和解密。加密方式为1字节异或算法，密钥值为0xA1。在之前的攻击案例中，除了0xA1之外，还使用了密钥值0x97和0xAB。

图 7. 使用密钥 0xA1 进行异或加密的字符串

当 NukeSped 首次连接到 C&C 服务器时，它会发送以下格式的 HTTP 请求。

图 8. 首次连接 C&C 服务器时的数据包

表1. 首次连接C&C服务器时的格式

然后，从 C&C 服务器收到 HTTP 响应，并检查下表中的每个字符串。如果响应中存在每个字符串，则“Sec-Fetch-Mode:”的值被识别为命令并且例程继续。

表 2. 从 C&C 服务器接收的命令格式

可以支持三种命令，实际上，它们只涉及从C&C服务器下载文件，执行从C&C服务器接收到的命令，并传递结果。

表 3. NukeSped 支持的命令

最初与C&C服务器通信时使用POST方法，但后来使用伪装成Google连接的GET方法发送从C&C服务器接收到的命令执行结果以及命令执行失败消息。

图9. 命令执行失败消息的响应包

表 4. 传输命令执行结果时的格式

如果它没有正确连接到 C&C 服务器，它会使用批处理文件进行自我删除，类似于一般的 NukeSped 后门。用于自删除的批处理文件在“%TEMP%uninst.bat”路径中创建。

图 10. 用于自删除的批处理文件

三、结论

Andariel 组织与 Kimsuky 和 ​​Lazarus 组织一样，是积极针对韩国的威胁组织之一。最初，攻击主要是为了获取安全相关信息，但后来攻击也以经济利益为目的。鱼叉式网络钓鱼攻击或水坑攻击主要用于初始渗透，但也已证实利用Log4Shell或TeamCity漏洞等漏洞安装恶意软件的案例。近日，确认利用Apache ActiveMQ远程代码执行漏洞（CVE-2023-46604）安装恶意代码。

用户应特别警惕来历不明的电子邮件附件或网页下载的可执行文件，企业安全人员应加强对资产管理程序的监控，如果存在程序安全漏洞，应及时进行修补。此外，您还必须小心，提前将操作系统、浏览器等程序的最新补丁和V3更新到最新版本，以防止此类恶意软件的感染。

文件诊断

– Trojan/Win32.Dynamer.R162477 (2015.08.19.00)
– Trojan/Win64.CobaltStrike.R356638 (2020.11.26.05)
– Backdoor/Win.NukeSped.C5542399 (2023.11.16.01)
– Trojan/Win.Generic.C5483470 (2023.09.08.03)
– Trojan/Win.Generic.C5532844 (2023.10.28.01)
– Backdoor/Win.TigerRAT.C5517634 (2023.10.19.03)
– Trojan/CLASS.Agent (2023.11.03.00)
– Dropper/MSI.Agent (2023.11.17.03)

行为诊断

– Malware/MDP.Download.M1900
– Ransom/MDP.Command.M2255

IOCMD5

– 7699ba4eab5837a4ad9d5d6bbedffc18 : NukeSped (credisvc.exe)
– c2f8c9bb7df688d0a7030a96314bb493 : TigerRat (load.exe, rang.exe)
– 478dcb54e0a610a160a079656b9582de : HelloKitty Installer
– 26ff72b0b85e764400724e442c164046 : HelloKitty Ransomware
– 4eead95202e6a0e4936f681fd5579582 : Java Downloader
– 160f7d2307bbc0e8a1b6ac03b8715e4f : Java Downloader
– 11ec319e9984a71d80df1302fe77332d : Downloader (agent_w.exe)
– dc9d60ce5b3d071942be126ed733bfb8 : Downloader (agent_w.exe)
– beb219abe2ba5e9fd7d51a178ac2caca : Metasploit Meterpreter Stager
– c55eb07ef4c07e5ba63f7f0797dfd536 : CobaltStrike Installer (Notification.msi)
– 31cbc75319ea60f45eb114c2faad21f9 : CobaltStrike (Notification.exe)

C&C 服务器

– 27.102.114[.]215:8000 : NukeSped
– 137.175.17[.]221:48084 : Downloader
– 137.175.17[.]172:41334 : Downloader
– 176.105.255[.]60:49407 : Metasploit Meterpreter Stager
– hxxps://206.166.251[.]186/jquery-3.3.1.min.js : CobaltStrike

下载地址

– hxxp://137.175.17[.]221:1443/ac.jar : Java Downloader
– hxxp://137.175.17[.]172:1443/ac3.jar : Java Downloader
– hxxp://137.175.17[.]221:1443/agent : Downloader (Linux)
– hxxp://137.175.17[.]221:1443/agent_w : Downloader (Windows)
– hxxp://137.175.17[.]172:1443/agent : Downloader (Linux)
– hxxp://137.175.17[.]172:1443/agent_w : Downloader (Windows)
– hxxp://176.105.255[.]60/Xdw0FFtpuYWSLrVcAei5zg : Metasploit Meterpreter Stager
– hxxp://168.100.9[.]154:9090/Notification.msi : CobaltStrike Installer

转载来源：https://asec.ahnlab.com/ko/59130/

图片来源网络目标可联系删除