概述
据说得到朝鲜支持的Kimsuky威胁组织自2013年以来一直很活跃。对韩国与朝鲜相关的研究机构的最初攻击已经得到证实,随后是2014年对韩国能源机构的袭击,以及自2017年以来对韩国以外其他国家的袭击。鱼叉式网络钓鱼攻击主要旨在从国防、国防工业、媒体、外交、国家机构和学术界的组织窃取信息和技术。
Kimsuky组织通常使用鱼叉式网络钓鱼攻击作为初始渗透途径,但近年来,出现了许多使用LNK格式的快捷恶意软件的攻击。当然,LNK恶意软件在最近的攻击中占很大比例,但也有使用JavaScript恶意软件或恶意文档文件进行攻击的情况。
使用JavaScript恶意软件的攻击主要用于分发AppleSeed恶意软件,该恶意软件之前在KimsukyGroup的APT攻击分析报告(AppleSeed、PebbleDash)中有所介绍。尽管该帖子发布于2021年11月,但直到最近,Kimsuky组织一直在使用AppleSeed进行攻击。当然,在安装AppleSeed时,不仅使用了JavaScript,还使用了Excel宏恶意软件。
事实上,类似的攻击方法已经连续使用了多年,而攻击方法或与之一起使用的恶意软件没有显着变化,可以说这是使用AppleSeed的攻击的特征。自2022年接管感染系统后首次发现第一个数据窃取恶意软件和RDPPatch恶意软件以来,一直使用相同的文件。
与之前的报告相比,本文讨论了最近攻击中使用的恶意软件的特征。例如,AppleSeed本身的使用方式相同,但它会检查干扰分析的因素,并使用一种称为AlphaSeed恶意软件的AppleSeed变体。此外,与过去在安装AppleSeed后主要使用RDP控制受感染系统不同,Chrome远程桌面近年来经常安装。
1. AppleSeed
AppleSeed是一种后门恶意软件,可以从C&C服务器执行攻击者的命令。攻击者可以使用AppleSeed来控制受感染的系统,以及安装其他恶意软件、键盘记录、屏幕截图和数据窃取的下载程序,以从用户系统收集和传输文件。
AppleSeed通常使用JavaScriptdropper恶意软件进行传播,就像过去的攻击一样。JavaScriptdropper恶意软件负责在安装AppleSeed的同时生成和显示HWP和PDF等文档文件,这可能会导致普通用户误以为文档文件已正常执行。
AppleSeed恶意软件本身与过去类似,但自2022年初以来,JavaScript恶意软件已更改为通过滴管生成AppleSeeds,而不是直接安装AppleSeeds。它的特点是,不仅在安装过程中添加了滴管,而且还在执行恶意软件时检查因素的功能。AppleSeed以DLL的形式使用Regsvr32进程进行安装,该进程使用“/i”选项传递参数。AppleSeed检查参数,并仅在它是特定字符串时安装它,否则它会自行删除。因此,在沙盒环境中,AppleSeedDLL无法单独执行恶意行为。
AppleSeedFactor–示例:regsvr32.exe/s/n/i:1qa2ws4rf“C:Users{用户名}AppDataRoamingFoxitReaderServiceFoxitReaderUpdate.db”
图1.安装AppleSeed时使用的参数
AppleSeed安装在路径“%APPDATA%”或“%PROGRAMDATA%”中,特定的文件夹和文件名伪装成合法文件,例如AntiVirus、Chrome或Adobe。过去,它主要安装在路径“%PROGRAMDATA%”中,但近年来,路径“%APPDATA%”变得越来越普遍。下表列出了安装AppleSeed的各种路径,并细分了最近几个月确定的攻击中使用的路径名。
时期 安装路径
过去 %APPDATA%EastSoftControlServiceEastSoftUpdate.dll%APPDATA%ESTsoftAlLUpdateAlCommon.dll%APPDATA%ESTsoftCommonESTCommon.dll%APPDATA%ESTsoftCommonko-kr.dll%APPDATA%ESTsoftupdatESTCommon.dll%APPDATA%MicrosoftWindowsDefenderAutoUpdate.dll%APPDATA%MicrosoftWindowsDefenderpatch.dll%PROGRAMDATA%FirmwareESTsoftCommonESTCommon.dll
%PROGRAMDATA%FirmwareMicrosoftWindowsDefenderAutoUpdate.dll%PROGRAMDATA%SoftwareAhnlabServiceAutoService.dll%PROGRAMDATA%SoftwareControlSetServiceServiceScheduler.dll.dll%PROGRAMDATA%SoftwareDefenderWindowsUpdateAutoUpdate.dll%PROGRAMDATA%SoftwareESTsoftCommonESTCommon.dll%PROGRAMDATA%SoftwareMicrosoftAvastAntiVirusAvastUpdate.dll
%PROGRAMDATA%SoftwareMicrosoftAvgAvgSkin.dll%PROGRAMDATA%SOFTWAREmicrosoftiecleanercpatureiecaptureclean.dll%PROGRAMDATA%SoftwareMicrosoftNetworkNetworkService.dll%PROGRAMDATA%SoftwareMicrosoftPrinterPrinterService.dll%PROGRAMDATA%SoftwareMicrosoftServiceTaskScheduler.dll%PROGRAMDATA%SoftwareMicrosoftWindowsAutoDefenderUpdateDB.dll
%PROGRAMDATA%SoftwareMicrosoftWindowsAutoPatchpatch.dll%PROGRAMDATA%SoftwareMicrosoftWindowsChromeGoogleUpdate.dll%PROGRAMDATA%SoftwareMicrosoftWIndowsDefenderAutoCheck.dll%PROGRAMDATA%SoftwareMicrosoftWindowsDefenderAutoUpdate.dll%PROGRAMDATA%SoftwareMicrosoftWindowsDefenderupdate.dll%PROGRAMDATA%SoftwareMicrosoftWindowsExplorerFontChecker.dll
MicrosoftWindowsFontChecker.dll
%PROGRAMDATA%SoftwareMicrosoftWindowsMDFWDFSyncWDFSync.dll%PROGRAMDATA%SoftwareMicrosoftWindowsMetaSecMetaSecurity.dll%PROGRAMDATA%SoftwareMicrosoftWindowsPatchpatch.dll%PROGRAMDATA%SoftwareMicrosoftWindowsProtectProtectUpdate.dll%PROGRAMDATA%SoftwareMicrosoftWindowsSecrityAutoCheck.dll
最近 %APPDATA%AbodeServiceAdobeService.dll%APPDATA%AcrobatreaderServiceAcrobatReaderUpdate.db%APPDATA%chromeServiceupdategoogle.dll%APPDATA%EastSoftControlServiceEastSoftUpdate.dll%APPDATA%FoxitReaderServiceFoxitReaderUpdate.db%APPDATA%ProtectSoftUpdateServiceProtectSoftUpdate.db
AppleSeed安装路径
2. AlphaSeed
AlphaSeed是一种用Go语言开发的恶意软件,在支持执行命令和窃取信息等功能方面类似于AppleSeed。基于这些相似之处和二进制文件中包含的路径名,S2W将恶意软件命名为AlphaSeed。
与AppleSeed相比,大多数功能是相似的,但也存在差异,例如它是用Go语言开发的,并且使用ChromeDP进行C&C通信。AppleSeed使用HTTP协议、电子邮件或SMTP和IMAPS协议来拦截攻击者的命令或收集信息。AlphaSeed也使用电子邮件进行C&C通信,但不是直接发送邮件,而是使用一个名为ChromeDP的工具。登录过程也不同,但不是直接使用ID/PW,而是使用使用特定帐户登录所需的cookie值登录。
图1.登录所需的Cookie值
至少自2022年10月以来,AlphaSeed就已被用于攻击,攻击中使用的JavaScriptdropper恶意软件与AppleSeed相同。二进制文件本身是使用Regsvr32进程运行的DLL格式,因此实际安装过程类似于AppleSeed。
攻击者还可以针对同一目标同时安装AlphaSeed和AppleSeed。在以下情况下,初始传播阶段尚未确认,但AlphaSeed和AppleSeed大约同时安装,并使用了certutil.exe,这表明它是由JavaScriptdropper安装的,就像在大多数情况下一样。
图2.AlphaSeed和AppleSeed在攻击中一起使用
AlphaSeed于2022年10月左右被发现,二进制文件中的路径名为“E:/golang/src/naver_crawl/”,从2023年5月左右到最近,在攻击中使用的二进制文件中出现了“E:/Go_Project/src/alpha/naver_crawl_spy/”。
图3.2022年10月确认了AlphaSeed的路径名
图4.自2023年5月以来一直在使用的路径名直到最近
3. Metasploit
Metasploit是一个用于渗透测试的框架。它是一种工具,可用于检查公司或机构的网络和系统中的安全漏洞,并支持渗透测试每个阶段的各种功能。Meterpreter是Metasploit提供的一种后门恶意软件,用于控制受感染的系统。
Kimsuky组织经常在使用AppleSeed的攻击中使用meterfreers在2023年上半年,用Go语言开发的meterfreeter stager得到了确认,最近流传的meterfreeter再次以使用C++而不是Go语言生产为特征。
图5.Shellcode下载MetasploitMeterFree
4. VNC–TightVNC、HVNC(TinyNuke)
除了RDP,Kimsuky组织还创建并使用VNC恶意软件来控制受感染的系统。自首次发现以来,已经确定了两种类型:TightVNC和HVNC。
TightVNC是一个开源的VNC实用程序,攻击者可以自定义和使用。由KimsukyGroup分发的TightVNC是一种修改后的形式,允许单独使用ReverseVNC功能,而无需在受感染的环境中安装服务。因此,通过简单地运行tvnserver,攻击者可以访问在C&C服务器上运行的tvnviewer并控制受感染的系统。
TinyNuke,也称为NuclearBot,是一种银行恶意软件,自2016年以来已被发现,包括HVNC(HiddenDesktop/VNC)、反向SOCKS4代理和Web浏览器表单抓取等功能。自2017年左右发布源代码以来,TinyNuke已被各种攻击者使用,其中HVNC和RverseSOCKS4代理功能的使用方式被其他恶意软件(如AveMaria和BitRAT)部分借用。
Kimsuky组只在TinyNuke支持的各种功能之间激活和分配HVNC功能。TinyNuke使用字符串“AVE_MARIA”来验证服务器和客户端之间的HVNC通信,Kimsuky小组在某些情况下使用字符串“LIGHT'SBOMB”。自2022年上半年以来,我们一直在使用字符串“Alpha'snuke”,这与我们最近确定的类型相同。
图6.用于HVNC验证的字符串
5. 结论
Kimsuky攻击组织继续对韩国用户进行鱼叉式网络钓鱼攻击。它主要是一种将伪装成文档文件作为电子邮件附件的恶意软件分发的方法,如果用户执行它,它可以控制当前正在使用的系统。
Kimsuky攻击组织使用AppeSeed、Meterpreter和VNC恶意软件来控制受感染的系统,并利用Windows系统上默认存在的RDP远程桌面服务。最近,也有确认滥用谷歌浏览器的远程桌面功能进行远程控制的案例。
用户应仔细检查电子邮件的发件人,不要查看来自未知来源的文件。此外,您应该使用最新的补丁和V3更新您的操作系统和互联网浏览器到最新版本,以提前防止感染此类恶意软件。
6.IOC
MD5
– db5fc5cf50f8c1e19141eb238e57658c : AppleSeed (%APPDATA%AbodeServiceAdobeService.dll
– 6a968fd1608bca7255c329a0701dbf58 : AppleSeed (%APPDATA%AbodeServiceAdobeService.dll)
– cafc26b215550521a12b38de38fa802b : AppleSeed (%APPDATA%AbodeServiceAdobeService.dll)
– 76831271eb117b77a57869c80bfd6ba6 : AppleSeed (%APPDATA%FoxitReaderServiceFoxitReaderUpdate.db)
– b5d3e0c3c470d2d41967229e17259c87 : AppleSeed (%APPDATA%chromeServiceupdategoogle.dll)
– 4511e57ae1eacdf1c2922bf1a94bfb8d : AppleSeed (%APPDATA%EastSoftControlServiceEastSoftUpdate.dll)
– 02843206001cd952472abf5ae2b981b2 : AppleSeed (%APPDATA%FoxitReaderServiceFoxitReaderUpdate.db)
– 8aeacd58d371f57774e63d217b6b6f98 : AppleSeed (%APPDATA%AcrobatreaderServiceAcrobatReaderUpdate.db)
– cacf04cd560b70eaaf0e75f3da9a5e8f : AppleSeed (%APPDATA%ProtectSoftUpdateServiceProtectSoftUpdate.db)
– 7a7937f8d4dcb335e96db05b2fb64a1b : AppleSeed (%APPDATA%AbodeServiceAdobeService.dll)
– f3a55d49562e41c7d339fb52457513ba : AppleSeed (%APPDATA%FoxitReaderServiceFoxitReaderUpdate.db)
– d94c6323c3f77965451c0b7ebeb32e13 : AppleSeed Dropper
– 5d3ab2baacf2ad986ed7542eeabf3dab : AppleSeed Dropper
– d4ad31f316dc4ca0e7170109174827cf : AppleSeed Dropper
– 1f7d2cbfc75d6eb2c4f2b8b7a3eec1bf : AppleSeed Dropper
– ae9593c0c80e55ff49c28e28bf8bc887 : AppleSeed Dropper
– b6f17d59f38aba69d6da55ce36406729 : AppleSeed Dropper
– 153383634ee35b7db6ab59cde68bf526 : AppleSeed Dropper
– c560d3371a16ef17dd79412f6ea99d3a : AppleSeed Dropper
– 0cce02d2d835a996ad5dfc0406b44b01 : AppleSeed Dropper
– d94c6323c3f77965451c0b7ebeb32e13 : AlphaSeed (%USERPROFILE%.edgeedgemgmt.dat)
– 52ff761212eeaadcd3a95a1f8cce4030 : AlphaSeed (%USERPROFILE%.edgeedgemgmt.dat)
– 4cb843f2a5b6ed7e806c69e6c25a1025 : AlphaSeed (%USERPROFILE%.edgeedgemgmt.dat)
– b6ab96dc4778c6704b6def5db448a020 : AlphaSeed (%USERPROFILE%.edgeedgemgmt.dat)
– 232046aff635f1a5d81e415ef64649b7 : Meterpreter (%PROGRAMDATA%setting.dat)
– 58fafabd6ae8360c9d604cd314a27159 : Meterpreter (%SystemRoot%system32setting.db)
– e582bd909800e87952eb1f206a279e47 : Meterpreter (%SystemRoot%system32service.db)
– ac99b5c1d66b5f0ddb4423c627ca8333 : Meterpreter
– e34669d56a13d607da1f76618eb4b27e : TinyNuke (HVNC)
– ee76638004c68cfc34ff1fea2a7565a7 : TightVNC
C&C服务器
– hxxp://bitburny.kro[.]kr/aha/ : AppleSeed
– hxxp://bitthum.kro[.]kr/hu/ : AppleSeed
– hxxp://doma2.o-r[.]kr// : AppleSeed
– hxxp://my.topton.r-e[.]kr/address/ : AppleSeed
– hxxp://nobtwoseb1.n-e[.]kr// : AppleSeed
– hxxp://octseven1.p-e[.]kr// : AppleSeed
– hxxp://tehyeran1.r-e[.]kr// : AppleSeed
– hxxp://update.ahnlaib.kro[.]kr/aha/ : AppleSeed
– hxxp://update.doumi.kro[.]kr/aha/ : AppleSeed
– hxxp://update.onedrive.p-e[.]kr/aha/ : AppleSeed
– hxxp://yes24.r-e[.]kr/aha/ : AppleSeed
– 104.168.145[.]83:993 : Meterpreter
– 159.100.6[.]137:993 : Meterpreter
– 38.110.1[.]69:993 : Meterpreter
– 107.148.71[.]88:993 : Meterpreter
– 45.114.129[.]138:33890 : TinyNuke (HVNC)
– 45.114.129[.]138:5500 : TightVNC
参考链接:https://asec.ahnlab.com/ko/59933/
图片来源网络目标可联系删除