今年早些时候,DCSO 观察到一个有趣的恶意软件样本,该样本于 2024 年 1 月中旬首次上传到 VirusTotal,我们认为该样本是针对俄罗斯外交部的与朝鲜相关活动的一部分。
该恶意软件本身似乎是 KONNI,这是一种朝鲜 (DPRK) 关系工具,据信早在 2014 年就开始使用。此前,多位研究人员在 2021 年的一次活动中观察 到 KONNI 在针对俄罗斯外交部的高度类似活动中的使用。我们注意到,其他研究人员独立发现了我们在本博文中评估的相同上传内容,并将其识别为 KONNI 样本。
然而,也许更有趣的是,该样本被捆绑到一个有后门的俄语软件安装程序中。这是我们之前观察到的一种 KONNI 交付技术,2023 年的样本是通过俄罗斯国家强制公开的纳税申报软件“Spravki BK”(Справки БК)的后门安装程序交付的。
在这种情况下,后门安装程序似乎是针对名为“Statistika KZU”(Cтатистика КЗУ)的工具。虽然我们无法找到该工具的任何公开引用,但根据安装程序中捆绑的安装路径、文件元数据和用户手册,我们怀疑该软件旨在供俄罗斯外交部 (MID) 内部使用,专门用于通过安全通道将海外领事馆 (КЗУ — консульские загранучреждения) 的年度报告文件转发到 MID 领事部。
在这篇博文中,我们将评估俄罗斯后门安装程序及其可能的影响,记录观察到的 KONNI 变体的功能,并将这一发现纳入历史上与朝鲜有关的间谍活动和针对俄罗斯实体的 KONNI 使用的大背景中。
图片由Thomas Evans 在 Unsplash 上拍摄
后门安装程序
如上所述,我们发现的 KONNI 样本似乎是通过名为“Statistika KZU”(Cтатистика КЗУ)的俄语工具的后门安装程序分发的。尽管缺乏对该工具的公开引用,但许多数据点使我们相信 Statistika KZU 是一个旨在在俄罗斯外交部 (MID) 内使用的工具,特别是用于向俄罗斯外交部转发领事统计数据。来自世界各地领事馆的 MID。在下面的部分中,我们将详细介绍导致我们得出这一结论的各种数据点和发现。
Statistika KZU GUI 的主窗口
用户手册
我们发现两个用户手册文件捆绑在后门安装程序中,详细说明了该软件的安装和使用。第一个(“Инструкция по установке программы StatRKZU”)解释了如何在管理帐户上安装“Statistika KZU”程序并开始运行该软件。它包括最低软件要求和详细说明该过程的屏幕截图。软件安装程序将程序安装到其默认文件路径 (C:\ConsulSoft\StatRKZU)。首次登录时,手册指示管理员使用用户名“ADMIN”和空密码,如下图所示。
详细介绍如何首次登录程序
从那里,会弹出一个窗口,用户选择他们所在的国家和他们工作的领事馆。KZU 代码由程序根据输入的信息自动提供。然后,用户提供头部的名称及其位置。
配置Statistika KZU时填写有关用户领事馆位置的信息
为了开始向 MID 发送自动报告,用户必须设置 ViPNet,这是一个安全、加密的俄罗斯 VPN 客户端,也是 Statistika KZU 规定的软件要求之一。在 ViPNet 中,用户设置自动报告发送过程,该过程已作为程序中的一个选项列出。在下图中,在 ViPNet 程序中选择了“KD 统计报告”选项,用户正在创建新的自动处理规则。
通过 ViPNet 设置自动报告
第二本手册(“StatRKZU_Руководство”)是一本 22 页的用户手册,供管理员和操作员解释如何使用该软件。它还阐明了该软件的用途,即生成有关 KZU 领事活动的年度报告文件,并通过安全的互联网通道自动将这些文件发送到 KZU 统计服务器上的 MID 领事部门,并打印报告。
它的开头与其他文档相同,说明最低软件要求以及如何首次登录和设置程序。从那里,它会逐步浏览软件的主窗口以及每个选项卡的用途。下面的屏幕截图解释了程序的主窗口以及应跟踪和输入信息的位置。
该手册随后详细介绍了管理员可用的程序功能,包括:注册用户、在 ViPNet 中设置模块以及保存和恢复数据库。
最后一部分解释如何制定和打印年度报告。在下面的示例中,我们可以看到两个模板。第一个是包含年初和年末在 KZU 登记的俄罗斯公民数量的表格模板,第二个是在领事馆境内被拘留、逮捕或监禁的俄罗斯公民数量年初的地区和年末的数量。
打印统计报告模板的结构
已安装的软件
我们能够成功运行安装程序并使用手册中提供的说明离线访问已安装的软件。已安装程序的用户界面似乎也完全符合手册中提供的详细信息。然而,我们无法测试已安装软件的功能,这使我们无法最终评估该软件是否合法。
安装路径
安装程序创建的默认安装路径为该软件旨在用于领事环境的概念提供了额外的可信度:
\ConsulSoft\StatRKZU\
MSI 文件元数据中对“GosNIIAS”(ГосНИИАС) 的引用
此外,我们注意到 MSI 文件元数据的“作者”字段中列出了一个名为“GosNIIAS”(ГосНИИАС) 的实体。
文件元数据中对 ГосНИИАС 的引用
GosNIIAS是国家航空系统科学研究所(Государственный научно-исследовательский институт авиационных систем)的缩写,是一家主要从事航空航天研究和相关项目的俄罗斯联邦研究机构。
由于缺乏对该软件的公开引用,我们无法找到 GosNIIAS 和 Statistika KZU 之间的任何直接关联。然而,我们能够发现 GosNIIAS 履行的合同的参考资料,该合同为 MID 提供各种自动化领事信息服务解决方案。
具体来说,我们发现了一系列公共采购记录,其中将俄罗斯外交部 (Министерство иностранных дел Российской Федерации) 列为 GosNIIAS 在该领域履行的单一来源合同的客户。
发现的两份潜在相关合同包括一份采购订单(#0173100002211000012),用于 MID 领事部门自动化系统运行的软件维护;以及一份采购订单(#0173100002213000006),用于维护保护个人数据的综合系统软件在 MID 领事系统处理期间。在这两份合同中,外交部被列为客户,GosNIIAS 被列为供应商。
以下图片取自合同,第一张详细说明了 MID 从 GoSNIIAS 采购的服务以及为服务支付的卢布金额信息。
有关从合同采购的服务的信息#0173100002211000012
第二个屏幕截图显示了作为服务提供商的 GosNIIAS,以及该组织的地址、传真电话号码和税号。
合同供应商(GosNIIAS)信息#0173100002213000006
尽管没有具体提及 Statistika KZU,但各种合同反映了 GosNIIAS 为俄罗斯 MID 在领事部门数据处理领域所做的工作,上面指出的两份具体合同详细说明了可能包含软件解决方案的工作范围例如 Statistika KZU。
还可以找到 GosNIIAS 参与俄罗斯外交部领事服务提供的其他公开迹象;例如,领事服务预订公共门户网站的开发归功于 GosNIIAS。
GosNIIAS 因在领事服务预订公共门户上所做的工作而受到赞誉
KONNI 恶意软件
据信,KONNI 早在 2014 年就已被使用,最初仅被用作信息窃取者。后来的版本稳步增加其功能设置,在 2016 年达到明显的峰值,除了Talos Intelligence 报告的常见远程管理功能之外,它还提供了各种窃取功能(浏览器数据、剪贴板、键盘记录),随后急剧减少2017 年推出功能,此后仅进行了极少的调整。
当前的示例(例如本例中观察到的示例)仅具有文件传输、命令执行和签入间隔配置的最小功能集。该工具以其他名称进行跟踪,包括 Proofpoint 的“UpDog”。
该恶意软件通常与朝鲜关系参与者的使用有关。由于该工具的大量使用,该威胁行为者通常被称为 Konni Group,该工具也被追踪为 TA406,一般认为该威胁行为者属于与朝鲜侦察总局相关的Kimsuky 集群。KONNI 恶意软件还与 DPRK 关系中的其他参与者有联系,包括 APT37。
安装
这两个安装程序都以 MSI 文件的形式出现,并将恶意软件集成到良性安装过程中。当用户运行后门安装程序时,CustomAction会触发第一阶段的执行,该阶段会检测环境(32/64 位)并选择适当的有效负载。两个检查样本的确切实现有所不同——我们观察到一个 VBScript 和一个小型可执行文件执行相同的任务。
在这两种情况下,最终都会执行另一个批处理文件,该文件负责复制文件并设置 Windows 服务以同时持久化和执行,以及复制包含的配置和有效负载文件。
两个示例的Final.bat 文件
服务名称选择得不显眼,“Windows 图像获取服务”与现有的合法 Windows 服务非常相似。
配置
恶意软件安装过程中复制的配置文件包含 C2 服务器,并使用 AES-CTR 进行加密,服务名称用作密钥。
您可以从我们的 GitHub 获取脚本来解密此类配置文件。
我们从当前示例中提取了 C2——您可以在博文末尾的 IoC 部分找到它们。
有趣的是,我们确定的 C2 域之一是“victory-2024[.]mywebcommunity[.]org”。Proofpoint 研究人员此前曾强调过 Konni Group/TA406 活动各个方面一致使用“胜利”一词,他们将其确定为该组织使用的 PHP 电子邮件发送工具 Star 版本的 HTTP 标题以及在疑似该组织开展的一次活动中部署的可执行文件中。研究人员指出,该词还被追踪为 TA408 的 Kimsuky 集群参与者在各种密码中使用,这一观察结果在ESTsecurity 发布的早期研究中得到证实。
从我们的角度来看,特别有趣的是, Lumen 研究人员在 2022 年初的公开报告中发现了 2021 年末涉嫌利用 KONNI 恶意软件针对俄罗斯 MID 的活动。虽然本博文稍后将更详细地探讨此活动,但我们注意到此活动中识别的 C2 域是“victory-2020.atwebpages[.]com”。这可能表明在寻求针对俄罗斯 MID 目标部署 KONNI 的活动中采用了一致的域名模式 (victory-yyyy),尽管我们不能排除在其他活动的 C2 中使用此域名模式。
能力
KONNI 最近的命令集基本保持不变,仅允许操作员执行命令并接收其输出、上传和下载文件以及指定睡眠间隔(连接检查间隔、检查间隔)。通信通过 HTTP 完成。
对于签入,KONNI 运行以下命令并将输出发送到 C2:
systeminfo
tasklist
对于文件传输,KONNI 会根据其按原样传输的文件类型列表检查扩展名。其他文件扩展名被压缩为 .CAB 存档,然后发送。
未更改传输的扩展名列表:
.7z
.zip
.rar
.cab
.docx
.xlsx
更大的图景
针对俄罗斯敏感部门的朝鲜网络间谍活动是一个长期存在的现象。例如,2019 年,Check Point Research 表示,他们观察到朝鲜利用已知的工具“对俄罗斯实体进行协调攻击”。与此同时,2020 年,俄罗斯媒体报道称 Kimsuky 集群活动影响了国防集团 Rostec 等目标。
然而,这一发现是在俄罗斯和朝鲜在 2022 年再次入侵乌克兰之后地缘政治日益接近的更广泛背景下出现的,这一点反映在两国领导人 2023 年举行的高调峰会以及一致报道称,朝鲜向俄罗斯大规模转移火炮弹药,以支持后者正在进行的入侵行动,可能是为了换取朝鲜关键利益领域(例如弹道导弹)的技术支持等好处计划或自然资源的提供。
然而,尽管战略关系不断发展,朝鲜针对俄罗斯政府或国防等敏感部门感兴趣目标的网络间谍活动似乎仍在继续。值得注意的是,2023 年末,SentinelLabs 发布了“泄露的电子邮件集合”的调查结果,表明俄罗斯导弹和火箭工程局 NPO Mashinostroyeniya 在 2022 年 5 月中旬发现了一次泄露,根据 SentinelLabs 研究人员的说法,该泄露与已知的朝鲜活动有几处重叠。
与此同时,微软还披露了2023 年影响俄罗斯受害者的几起据称与朝鲜有关的事件。据该公司称,威胁行为者 Ruby Sleet (CERIUM) 据称于 2023 年 3 月入侵了一家未命名的俄罗斯航空航天研究所。Onyx Sleet (PLUTONIUM),同月,另一个与朝鲜有联系的组织破坏了俄罗斯一所大学的一台未指明的设备。最后,Opal Sleet(OSMIUM/ Konni Group)据称也在 2023 年 3 月通过网络钓鱼攻击了俄罗斯外交实体。
KONNI 部署针对俄罗斯外交政策目标
在针对俄罗斯的朝鲜网络间谍活动背景下,近年来的一些数据点特别涉及 KONNI 或相关工具的活动,这些活动似乎针对俄罗斯外交政策相关目标。
2018 年,Palo Alto Networks 研究人员详细介绍了一项利用 KONNI 变体的活动,他们将其称为 NOKKI,针对“欧亚大陆和可能东南亚的出于政治动机的受害者”。作为此次活动的一部分,研究人员发现了一系列包含与俄罗斯政治事务相关的西里尔字母内容的样本。虽然尚不清楚俄罗斯 MID 是否是这一活动的最终目标,但它可以被评估为代表 KONNI(相邻)部署的早期实例,针对俄罗斯外交政策利益更广泛领域的目标。
同样,Malwarebytes 研究人员在 2021 年中期发现了一项活动,涉及使用 KONNI 利用俄语诱饵来处理俄罗斯-韩国贸易和经济问题,以及俄罗斯-蒙古政府间委员会的一次会议。尽管该活动的具体目标尚不清楚,但这一发现仍然构成了通过俄语诱饵进行 KONNI 部署的又一实例,其内容与俄罗斯外交政策利益相关。
与我们的发现最明确相关的公开数据点可能是Lumen 研究人员和Cluster 25 研究人员在本博文前面提到的 2021 年末的活动,涉及非常相似的 TTP 并针对我们的发现。该活动分多个阶段进行,利用诸如用于窃取凭据的欺骗性 MID 登录门户、俄罗斯国家规定的疫苗接种注册工具的虚假恶意安装程序以及木马屏幕保护程序附件等工具,以“高度针对性”的方式针对 MID 人员。
最后,如上所述,微软披露了 2023 年 3 月的一起案例,其中与 Konni Group 关联的帐户通过网络钓鱼电子邮件针对俄罗斯“外交政府实体”。没有提供有关此活动的更多细节。
因此,我们发现的样本似乎符合针对俄罗斯外交政策目标的 KONNI 部署的既定模式,Lumen 和 Cluster25 研究人员发现的 2021 年活动在执行和目标方面似乎特别相似。
注意事项和悬而未决的问题
有关这一发现的一些警告和悬而未决的问题仍然存在。
这是合法的软件安装程序吗?
我们无法最终评估软件安装程序本身是否合法,因为我们无法找到公共领域中 Statistika KZU 存在的佐证。此外,我们无法测试该工具本身的正确功能。
尽管如此,应该指出的是,有强有力的迹象表明 Statistika KZU 是一个合法的工具。其中包括提供技术领事服务的 GosNIIAS 合同以及在发现的安装程序中包含完整的用户手册。
此外,如前所述,我们能够使用用户手册中提供的说明离线访问该工具,并且身份验证后的 UI 布局与用户手册的内容相对应,进一步证明了后门软件的可信度。安装程序本身可能是合法的。
如果软件或安装程序不合法,则似乎需要投入大量精力来赋予它们合法的外表。
如果它是合法的安装程序,是否可以公开获取?
如果软件安装程序确实合法,那么自然的后续问题是它是否可以以任何方式公开获取。如前所述,我们的调查没有发现有关 Statistika KZU 或其安装者的公共记录。
然而,攻击者仍然有可能通过身份不明的公共渠道获取了合法的 Statistika KZU 安装程序。
如果安装程序是合法的但无法公开获取,那么攻击者是如何获取它用于后门的?
如果软件安装程序是合法的并且不是公开获取的,那么攻击者如何能够获取后门样本的问题就会出现。
对此我们无法给出任何具体的结论。然而,如上所述,针对俄罗斯外交政策最终目标(包括 MID)的 KONNI 和 KONNI 相关活动已被观察多年,这可能为内部工具识别以及随后出于后门目的的获取或渗漏提供许多机会。
最后的想法
正如专家指出的那样,由于基本的可见性限制,公众对朝鲜和俄罗斯之间所谓“红对红”活动的发现和讨论仍然有限。鉴于 VirusTotal 的上传日期,这一发现似乎表明,截至 2024 年初,此类活动至少仍然存在且运行良好。
尝试使用后门软件安装程序可能是这一发现中最有趣的方面,该安装程序要么是或正在伪装成专门供俄罗斯外交部内部使用的工具。无论合法与否,后门安装程序本身就表明,根据 Statistika KZU 的规定用例,它是针对 MID 的高度具体的目标。此类活动符合历史上的 KONNI 部署,但也是其演变,该部署似乎也专门针对 MID 及其人员。
它还表明,尽管朝鲜和俄罗斯最近加强了战略联盟,但朝鲜针对军事情报部的这种高度具体的目标似乎仍在继续,这与朝鲜针对战略敏感的俄罗斯政府和经济部门的其他威胁活动一致。从某种程度上来说,这并不令人意外。战略接近度的增加预计不会完全覆盖朝鲜现有的收集需求,因为朝鲜一直需要能够评估和核实俄罗斯的外交政策规划和目标。
关于朝鲜网络计划起源的一些叙述详细描述了俄罗斯教员在该计划基础机构(例如当时的美林学院)早期所扮演的角色。尽管细节仍然不明朗,但这仍然有可能代表着鸡归巢的经典案例。
妥协的指标可以在下面找到;如博文前面所述,可以在我们的 GitHub 存储库中找到用于解密 KONNI 配置文件的脚本。
国际奥委会
Samples
58bcd90f6f04c005c892267a3dfe91d1154d064482b07715ad5802f57c1ea32d StatRKZU.msi
9339eaf1d77bb0324e393a08a6180fe0658761fc0cd20ba25081963286dfb9c7 wiasvc32.dll
b60dc12833110098f5eec9a51749d227db7a12d4e91a100a4fd8815695f1093f wiasvc64.dll
C2s
victory-2024.mywebcommunity[.]org
3cym4ims.medianewsonline[.]com
j1p75639.medianewsonline[.]com
99695njd.myartsonline[.]com
mhhnv7s9.myartsonline[.]com
g66nzt8q.mygamesonline[.]org
p593d8g9.mygamesonline[.]org
mbfasq54.mypressonline[.]com
tl2j38w9.mypressonline[.]com
t8nptw2h.mywebcommunity[.]org
w9uzs9la.mywebcommunity[.]org
zcvbm1zv.onlinewebshop[.]net
zomfaa9a.onlinewebshop[.]net
694qf6w8.scienceontheweb[.]net
24ev0apa.scienceontheweb[.]net
c6cdg4su.sportsontheweb[.]net
5s6bqbea.sportsontheweb[.]net
jbkza9h7.atwebpages[.]com
88zr7cua.atwebpages[.]com
p8tebfel.getenjoyment[.]net
cor8xcib.getenjoyment[.]net
参考链接: https://medium.com/@DCSO_CyTec/to-russia-with-love-assessing-a-konni-backdoored-suspected-russian-consular-software-installer-ce618ea4b8f3
图片来源网络目标可联系删除