1. 概述
据称受到朝鲜支持的 Kimsuky 威胁组织自 2013 年以来一直活跃。最初是针对韩国涉朝研究机构进行的攻击,2014年确认了针对韩国能源机构的攻击,自2017年起也确认了针对韩国以外国家的攻击。主要通过鱼叉式网络钓鱼攻击攻击国防、军工、媒体、外交、政府机构、学术领域,旨在窃取组织内部信息和技术。
直到最近,Kimsuky 组织主要使用鱼叉式网络钓鱼攻击作为初始渗透路线。与过去相比,近期攻击案例的一个独特特征是,使用LNK格式的快捷方式恶意软件而不是韩文或MS Office文档格式的恶意软件的案例越来越多。攻击者通过鱼叉式钓鱼邮件中的附件和下载链接诱导下载压缩文件,解压后正常文档文件和恶意LNK文件共存。
ASEC 正在监控 Kimsuky 组织使用 LNK 恶意软件进行的攻击案例,并不断在其博客上发布已确认的攻击案例。在这个初始渗透过程之后,Kimsuky 组织会安装远程控制恶意软件来控制受感染的系统。Kimsuky 组织使用的恶意软件包括自产类型,例如AppleSeed 和 PebleDash [3],以及开源或出售的恶意软件,例如XRat、HVNC、Amadey 和 Metasploit Meterpreter。夺取控制权后,它最终使用 RDP 或安装 Google 的 Chrome 远程桌面从受感染的系统中窃取信息。
此处,分析针对的是最近被确认分发的 Amadey 和 RftRAT 恶意软件。Amadey 和 RftRAT 以及 XRat 将继续使用到 2023 年,但最近已确定使用 AutoIt 生成的表格。我们还介绍了 Kimsuky 组织另外使用远程控制恶意软件安装的信息窃取恶意软件。用于远程控制目的的恶意代码不断变化,但使用它们安装的恶意软件的特点是在攻击中持续使用,到 2023 年没有显着差异。
2、初始渗透法
2.1. 鱼叉式网络钓鱼攻击
在 ASEC 中,2023 年,“伪装成正常韩国文档的恶意链接文件 (LNK)”、“冒充国家税务局分发恶意 LNK”、“伪装成企业宣传材料制作的恶意 LNK 分发” ”传播 LNK 恶意软件的攻击案例已通过以下博客披露:
攻击者在电子邮件中附加文件或下载链接,诱骗用户下载压缩文件并执行其中的LNK快捷方式文件。
图 1. 压缩文件中包含的 LNK 恶意软件
2.2. LNK 恶意软件
LNK文件内部有一个以加密形式存储的压缩文件,其中包含各种脚本恶意软件。
图 2. LNK 中包含的脚本恶意软件
当执行LNK时,压缩文件被解压,最终执行脚本恶意软件。内部BAT和VBS脚本具有infostealer功能,可以执行其他脚本或从受感染系统收集和窃取信息。还有一些下载器负责维护持久性或从外部下载和执行额外的有效负载。
在受感染系统上运行的脚本恶意软件会从外部安装其他恶意软件,代表性示例包括名为 XRat、Amadey 和 RftRAT 的后门恶意软件。这些类型都以 VMP 包的形式发布,但最近使用的是由 Autoit 生成的 Amadey 和 RftRAT。安装远程控制恶意软件后,似乎会安装键盘记录器和信息窃取恶意软件,最终目的是窃取组织的内部信息和技术。
3.远程控制恶意软件
3.1. XRat(类星体RAT)
XRat 是一种在 .NET 中开发的 RAT 恶意软件,基于 QuasarRAT(可在 GitHub 上获取)。Kimsuky 组织对 XRat 的使用早已得到证实,但最近它被定性为以加密有效负载而不是独立可执行文件或 DLL 的形式用于攻击。它由负责加载程序功能的恶意软件“ht.dll”、包含设置的数据文件“htsetting.ini”以及加密的有效负载组成。该方法被认为旨在绕过安全产品。
Loader 恶意软件负责读取位于同一路径中的 htsetting.ini 文件,对其进行解密,然后注入。目前已确认的加载器恶意软件ht.dll已全部被加壳并用作VMP,在解密的二进制文件中,确认了攻击者使用的字符串如下。
图3. ht.dll加载器打包到VMP中
配置文件包含实际加密的恶意软件文件的名称、RC4 解密密钥以及将成为注入目标的普通文件的信息。Ht.dll读取加密文件,解密,并参考信息注入到正常进程中。最终注入和操作的有效负载可能是 XRat 以外的恶意软件,具体取决于加密文件。
3.2. 阿马迪
Kimsuky 组织还在攻击中使用了 Amadey Bot。Amadey 是一种开始在非法论坛上销售的恶意软件,它是一个从 C&C 服务器安装其他恶意软件的下载程序。当然,除了这种下载器功能外,它还可以根据设置和插件安装来传输受感染系统的基本信息或窃取网络浏览器或电子邮件客户端中存储的屏幕截图和帐户信息。
Kimsuky 组织使用释放器安装 Amadey,DLL 格式的释放器恶意软件会在 %PUBLIC% 路径中创建一个具有隐藏属性的随机名称文件夹,并释放其中存在的文件。在创建的文件中,有一个压缩文件实际上包含Amadey,如果查看未压缩的大小,可以看到它大于300MB。据推测,这是故意增加其大小以绕过安全产品。
图 4. 在公共路径中创建的 Amadey 相关文件
之后,在启动文件夹中创建并注册路径“%ALLUSERSPROFILE%Startup”,并在此创建一个名为“svc.vbs”的脚本,该脚本负责维护持久性。由Rundll32.exe进程加载执行的Amadey,经过svchost.exe进程,最终注入到iexplore.exe进程中进行操作。
图5. 传输到C&C服务器的受感染系统信息
攻击者在 2023 年期间通过多次攻击安装了 Amadey,其中大多数都安装了相同类型的 dropper 恶意软件。除了 Amadey 之外,该植入恶意软件还安装了 RftRAT 恶意软件。RftRAT 与 Amadey 类似,大小也超过 300MB。
这些攻击中识别出的所有 RftRAT 均采用与 Amadey 相同的方式进行 VMP 打包,并且可以在解密的字符串中确认关键字 RFTServer。RftRAT 是一种后门恶意软件,可以从 C&C 服务器接收并执行命令。
图 6. 解密后的 RftRAT 字符串
3.3. 最新攻击案例
最近,已证实 Kimsuky 组织正在使用 Autoit 制作恶意软件。它是通过将之前使用的 Amadey 移植到 AutoIt 来创建的,也用于注入 RftRAT。
在过去的攻击中,仅识别出名为 RFTServer 的调试字符串,但在最近的攻击中,识别出包含 PDB 路径的恶意软件。通过PDB路径中的字符串,我们可以看到攻击者将RAT类型命名为rft,因此,恶意软件在这里被分类为RftRAT。
图7. RftRAT的PDB信息
- PDB 字符串:E:_WORKMy_WorkExploitSpyware_spyRATRFT_Socket_V3.2Releaserft.pdb
3.3.1. 奥特·阿玛迪
如上所述,Amadey 是 Kimsuky 组织过去一直使用的恶意代码之一。Kimsuky 组织使用的 Amadey 与一般攻击者使用的类型不同,它使用 DGA(域生成算法),并且在检查受感染系统上安装的防病毒软件时会显示国内公司的名称。
Amadey 此次识别的攻击类型已移植到 AutoIt 语言,与之前攻击案例中识别的类型相同。攻击者在受感染的系统上安装了正常的 AutoIt 可执行文件并编译了 AutoIt 脚本。编译后的 Autoit 脚本大小为 100MB,并包含如下虚拟数据以防止分析。
图 8. 攻击中使用的编译后的 Autoit 脚本文件
解密后的Autoit脚本可以称为Amadey恶意软件,虽然语言不同,但收集受感染系统信息然后传输到C&C服务器时的HTTP请求结构与典型的Amadey相同。
图 9. Amadey 发送到 C&C 服务器的 HTTP 数据包结构
此外,还有一个例程,在获取受感染系统上安装的防病毒列表时检查国内公司,除了exe格式外,还支持下载并执行dll、powershell、vbs和js 格式。
图 10. 实现 Amadey 例程的脚本
如上所述,Kimsuky 集团使用的 Amadey 支持 DGA。DGA 是一种域创建算法,它动态而不是以固定格式创建域或 C&C 服务器地址。Kimsuky组织根据日期动态获取一台C&C服务器,并将其作为辅助C&C服务器,如果主C&C服务器不通信,则使用DGA创建的辅助C&C服务器进行通信。
图 11. Amadey 的 DGA 算法
3.3.2. 射频RAT
攻击中使用的AutoIt脚本中,除了Amadey之外,还有RftRAT。Autoit可执行文件和恶意Autoit脚本也是通过dropper恶意软件创建的,以下ASD日志显示了安装RftRAT的dropper DLL“d015700.dll”的执行日志以及最终注入svchost.exe并运行的有关RftRAT的信息。您可以检查生成劫持恶意软件的日志。作为参考,同一系统上还安装了来自 Kimsuky 组织的另一个恶意代码 AppleSeed (AdobeService.dll)。
图12. Kimsuky组织攻击日志
之前的攻击中使用的RftRAT是DLL格式的,并且封装在VMP中,精确比较比较困难。但根据使用的库文件相同、使用ICMLuaUtil进行UAC绕过、用于存储C&C通信和命令结果的路径名几乎相同等信息,将其归类为RftRAT的旧版本。完全相同的。
图 13. 过去版本中与最新版本类似的 RftRAT 字符串
编译后的 Autoit 脚本与上面的 Amadey 示例类似,但其实际功能是一个注入器,运行 svchost.exe 并将 RftRAT 注入其中。最终有效负载 RftRAT 不能单独执行,必须从名为“A1CCA2EC-C09F-D33C-4317-7F71F0E2A976_0”的映射文件中读取数据。Autoit脚本负责注入器功能,在这里写入Autoit可执行文件和脚本的路径。
图 14. 通过文件映射过程接收到的 Autoit 相关文件的路径
以这种方式接收到的 Autoit 可执行文件和脚本的路径稍后将在 UAC 绕过过程中使用。RftRAT 使用 CMSTPLUACOM 组件的 ICMLuaUtil 接口绕过 UAC 并以管理员权限自行运行。RftRAT以管理员权限运行,收集受感染系统的基本信息,然后将其传输到C&C服务器。
表 1. 传输到 C&C 服务器的信息
图 15. 与 C&C 服务器的通信数据包
然后,从 C&C 服务器接收命令。RftRAT将收到的命令写入“%APPDATA%asct1.pb”路径,然后解密。解密的结果是实际的命令,将其写入同一个文件并再次读取以供使用。作为参考,命令、执行结果和其他下载的文件在以下路径中创建。
表2. C&C通信和命令过程中创建的文件
表 3. RftRAT 命令
4.感染后
即使在接管控制权后,Kimsuky 组织也会安装各种恶意软件,例如键盘记录器、Web 浏览器帐户和 Cookie 信息提取工具,以从受感染的系统中窃取信息。此外,还安装了连续使用多年的Mimikatsu和RDP Wrapper。
4.1. 键盘记录器
键盘记录器主要安装在“%ALLUSERSPROFILE%startupNsiService.exe”路径中。它驻留在系统中并监视用户的击键并将其保存在“%ALLUSERSPROFILE%semantecavC_1025.nls”或“%ALLUSERSPROFILE%AhnavC_1025.nls”路径中。作为参考,除了该恶意代码之外,“%ALLUSERSPROFILE%semantec”文件夹也是此处介绍的各种恶意代码的安装路径。
4.2. 信息窃取者
收集与网络浏览器相关信息的恶意代码是在“%ALLUSERSPROFILE%semantec”路径中以“GBIA.exe”、“GBIC.exe”、“GBS.exe”和“GPIA.dll”等名称创建的。其中大多数针对存储在网络浏览器中的帐户和cookie信息,但也有一种类型针对“本地扩展设置”路径中的文件,即与Chrome网络浏览器的扩展程序相关的设置信息。
图 16. 窃取 Web 浏览器帐户信息
此外,名为“GPIA.exe”的工具会搜索受感染系统的整个路径并显示位于每个文件夹中的文件。由于包含所有文件路径的文件必然很大,因此还支持分割压缩功能。
图 17. 系统路径查询工具
4.3. 其他类型
Kimsuky 组织的一个特点是他们经常滥用 RDP 来窃取信息。因此,可以安装RDP Wrapper或者可以使用用于多会话的补丁恶意软件。最近,已发现监视用户登录记录的恶意代码,据信该恶意代码用于查明用户何时登录,然后在空闲时间访问 RDP。
安装在“%ALLUSERSPROFILE%semantec”路径中的“taskhosts.exe”是一个注入器恶意软件,它将“ipcheck.dll”注入“explorer.exe”和“runtimebroker.exe”进程。“ipcheck.dll”通过hook“WinStationQueryInformationW()”和“ExitWindowsEx()”函数来监控用户登录/注销,日志保存在“%PUBLIC%Log64.txt”路径中。
图 18. 日志文件中保存的登录/注销记录
攻击者还使用了代理恶意软件。过去使用的代理工具通过接收命令行参数进行操作,但这种类型读取并使用“setting.ini”设置文件。由于默认地址中设置了 RDP 端口号 3389,因此推测其目的是将 RDP 连接到专用网络。
图 19. 代理恶意软件
5. 结论
Kimsuky 威胁组织继续针对国内用户进行鱼叉式网络钓鱼攻击。近期,针对国内用户的各种主题的恶意LNK文件正在传播,用户需特别小心。
它主要用于通过电子邮件附件或下载链接传播恶意软件,如果用户执行它,则可以接管当前正在使用的系统的控制权。Kimsuky 组织正在创建并使用各种新的恶意软件来控制受感染的系统并窃取信息,并且最近一直在使用 Autoit 来创建恶意软件来绕过安全产品。
用户应详细检查电子邮件的发件人,并避免查看来源不明的文件。此外,您还必须小心,提前将操作系统、浏览器等程序的最新补丁和V3更新到最新版本,以防止此类恶意软件的感染。
文件诊断
Downloader/Win.Amadey.R626032 (2023.11.30.00)
– Backdoor/Win.Agent.R626033 (2023.11.30.00)
– Downloader/Win.Amadey.C5462118 (2023.07.28.03)
– Trojan/AU3.Loader (2023.11.22.01)
– Dropper/Win.Agent.C5542993 (2023.11.17.02)
– Trojan/Win.Agent.C5430096 (2023.05.20.00)
– Infostealer/Win.Agent.R622445 (2023.11.17.02)
– Downloader/Win.Amadey.C5479015 (2023.08.31.01)
– Trojan/Win.Agent.C5485099 (2023.09.11.03)
– Trojan/Win.Agent.C5479017 (2023.08.31.01)
– Trojan/Win.Loader.C5479014 (2023.08.31.01)
– Trojan/Win.Agent.C5465186 (2023.11.30.00)
– Infostealer/Win.Agent.C5542999 (2023.11.17.02)
– Infostealer/Win.Agent.C5542997 (2023.11.17.02)
– Trojan/Win.Agent.C5451959 (2023.11.30.00)
– Trojan/Win.Agent.Prevention.C5446554 (2023.11.30.00)
– Trojan/Win.Agent.R589022 (2023.06.28.02)
– Trojan/Win.Loader.R588248 (2023.11.30.00)
– Trojan/Win.Agent.C5444839 (2023.11.30.00)
– Trojan/Win.Stealer.C5441397 (2023.11.30.00)
– Trojan/Win.KeyLogger.C5430090 (2023.05.20.00)
– Malware/Win.Generic.C5430065 (2023.11.30.00)
– Trojan/Win.Stealer.R579484 (2023.05.20.00)
– Trojan/Win.Loader.C5430091 (2023.05.20.00)
– Trojan/Win.KeyLogger.C5430092 (2023.05.20.00)
– Trojan/Win.Loader.C5430099 (2023.05.20.00)
– Trojan/Win.Proxy.C5430093 (2023.05.20.00)
– Trojan/Win.Agent.C5430095 (2023.05.20.00)
行为诊断
– Persistence/MDP.AutoIt.M4766
– Injection/MDP.Hollowing.M4767
IOC
MD5
– f5ea621f482f9ac127e8f7b784733514 : RftRAT Dropper – AutoIt (d009086.dll)
– 7b6471f4430c2d6907ce4d349f59e69f : Amadey – AutoIt Script (adal.au3)
– 14a7f83d6215a4d4c426ad371e0810a2 : RftRAT – AutoIt Script (run.au3)
– 74d5dac64c0740d3ff5a9e3aca51ccdf : RftRAT – AutoIt Script (chkdisc.au3)
– a7c9b4d70e4fad86598de37d7bf1fe96 : RftRAT – AutoIt Script (run.au3)
– 32696d9e1e72affaf8bc707ab271200d : Loader (ht.dll)
– 4b667f7ea5bdc9d872774f733fdf4d6a : Loader (ht.dll)
– 7f582f0c5c9a14c736927d4dbb47c5fa : Loader (ht.dll)
– 94aef716b23e8fa96808f1096724f77f : Loader (ht.dll)
– 0786984ab46482637c2d483ffbaf66dc : Loader (ht.dll)
– 1f63ce3677253636a273a88c5b26418d : Loader (ht.dll)
– 6f7cd8c0d9bfb0f97083e4431e4944c1 : Amadey Dropper (10.dll)
– 4fc726ab835ce559bada42e695b3d341 : Amadey Dropper (11.dll)
– 0fc1c99fd0d6f5488ab77e296216c7c6 : Amadey Dropper (10.dll)
– f9c4d236b893c0d72321a9210359f530 : Amadey (svc4615.dll)
– e22336eaf1980d2be5feed61b2dbc839 : Amadey (svc7014.dll)
– 862a855557cc274ab86e226e45338cff : Amadey (mtms2883.dll)
– 0f5762be09db44b2f0ccf05822c8531a : Amadey (ad53.dat)
– c87094e261860e3a1f70b0681e1bc8c5 : Amadey (ad54.dat)
– bac7f5eefe6a67e9555e93b0d950db59 : Amadey (d021999.dll)
– c5a1305aba22c8fedd6624753849905b : Amadey (mtms02.dat)
– 068d395c60e32f01b5424e2a8591ba73 : Amadey (adal66.dat)
– f3caa0f922600b4423ebcb16d7ea2dc6 : RftRAT Dropper (_e2.dll)
– 355817015c8510564c6ac89c976f2416 : RftRAT Dropper (_d2.dll)
– d541aa6bae0f8c9bd7e7b6193b52e8f2 : RftRAT Dropper (d010943.dll)
– 093608a2d6eb098eb7ea917cc22e9998 : RftRAT Dropper (30.dll)
– f76cde928a6eda27793ade673bcd6620 : RftRAT (msc1439.dll)
– aaa42b1209ed54bfcbd2493fe073d59b : RftRAT (mtms1929.dll)
– 1003a440c710ddf7faa1a54919dd01d8 : RftRAT (rtm8668.dll)
– b67e6e4c16e0309cfc2511414915df15 : RftRAT (cmms1106.dll)
– 4d4d485d3bfd3cbc97ed4b9a671f740f : RftRAT (cmms2366.dll)
– cf3440fa165e3f78d2a2252a6924f702 : RftRAT (mtms7794.dll)
– c55da826e50e2615903607e61968778f : RftRAT
– d070cf19b66da341f64c01f8195afaed : RftRAT (r2.dat)
– e665a985f71567f24a293ea430aad67d : RftRAT (r2.dat)
– c52410ed6787c39db87c4158e73089d4 : RftRAT (r1.dat)
– 1ac0b0da11e413a21bec08713e1e7c59 : RftRAT (40.dat)
– 39e755c08156123e4cabac6bf8d1fd3a : RftRAT (a2.dat)
– 187aa9b12c05cd1ff030044786903e7e : KeyLogger (NsiService.exe)
– b1337eb53b21594ac5dbd76138054ffb : KeyLogger (NsiService.exe)
– d820ddb3026a5960b2c6f39780480d28 : KeyLogger (NsiService.exe)
– 5c2809177bb95edc68f9a08a96420bb7 : Stealer – Web 浏览器 (GBIA.exe)
– 0bf558adde774215bb221465a4edd2fe : Stealer – Web 浏览器 (GBIA.exe)
– aa2cf925bae24c5cad2b1e1ad745b881 : Stealer – Web 浏览器 (GPIA.dll)
– baa058003bf79ba82ac1b744ed8d58cb : Stealer – Chrome 扩展 (GBS.exe)
– 38182f1f0a1cf598295cfbbabd9c5bf4 : Stealer – 文件路径 (GPIA.exe)
– 272c29bf65680b1ac8ec7f518780ba92 : Stealer – 文件路径 (GPIA.exe)
– e860dac57933f63be9a374fb78bca209 : Proxy (svc.exe)
– e96ca2aa7c6951802e4b17649cc5b581 : Injector (taskhosts.exe)
– 4eddf54757ae168450882176243d2bd2 : Injector (sihosts.exe)
– 119063c82373598d00d17734dd280016 : LogonMon (ipcheck.dll)
C&C
– hxxps://prohomepage[.]net/index.php :Amadey – AutoIt Script
– 45.76.93[.]204:56001 : RftRAT – AutoIt Script
– 91.202.5[.]80:52030 : RftRAT – AutoIt Script
– 192.236.154[.]125:50108 : RftRAT – AutoIt Script
– hxxp://brhosting[.]net/index.php : Amadey
– hxxps://topspace[.]org/index.php : Amadey
– hxxps://theservicellc[.]com/index.php : Amadey
– hxxps://splitbusiness[.]com/index.php : Amadey
– hxxps://techgolfs[.]com/index.php : Amadey
– 23.236.181[.]108:52390 : RftRAT
– 152.89.247[.]57:52390 : RftRAT
– 172.93.201[.]248:8083 : RftRAT
– 172.93.201[.]248:52390 : RftRAT
– 209.127.37[.]40:52390 : RftRAT
转载来源:https://asec.ahnlab.com/ko/59460/
图片来源网络目标可联系删除