AhnLab安全情报中心(ASEC)近日证实,Andariel组织正在对国内企业进行持续攻击。此次确认的攻击的一个特点是,确认了攻击过程中安装了MeshAgent的情况。MeshAgent是一款远程管理工具,提供多种远程控制功能,因此与其他远程管理工具一样,被攻击者滥用的案例也时有发生。
与之前的案例一样,攻击者利用国内资产管理解决方案安装恶意代码,最明显的是AndarLoader和ModeLoader。作为参考,Andariel 集团一直在不断滥用国内公司的资产管理解决方案,在横向移动过程中传播恶意软件,从过去的 Innorix Agent 开始。
1.AndarLoader
ASEC此前在ASEC博客“Andariel组织新攻击活动分析”中介绍了AndarLoader恶意软件。 AndarLoader 与 Andardoor 类似,后者是在滥用 Innorix Agent 的攻击案例中发现的,但与 Andardoor 不同的是,大多数从 C&C 服务器执行攻击者命令的后门功能都是以二进制可执行数据(例如 .NET)实现的。程序集是从C&C服务器接收的,它是一个下载器恶意软件,在内存中下载并执行。
表 1. AndarLoader 命令列表
这次确认的 AndarLoader 的特点是使用 KoiVM 进行混淆,与过去使用 Dotfuscator 工具进行混淆的类型不同。不过,由于使用的字符串在执行过程中被解密,因此您可以按如下方式检查与过去 AndarLoader 中相同的字符串。作为参考,连接 C&C 服务器时使用的“sslClient”字符串也与之前攻击中识别的 AndarLoader 相同。
图 1. 用 KoiVM 混淆的 AndarLoader
2.MeshAgent
MeshAgent收集远程管理所需的基本系统信息,并提供电源和帐户控制、聊天或消息弹出、文件上传/下载、命令执行等功能。另外还支持远程桌面,特别是在Web上还支持RDP、VNC等远程桌面功能。普通用户将使用它来远程管理他们的系统,但这些功能也可能被用于恶意目的。
事实上,其他攻击者使用MeshAgent远程控制受感染系统屏幕的案例已经得到证实。首次确认Andariel组织使用了MeshAgent,并以“fav.ico”名称对外下载。
图2. MeshAgent安装日志
图 3. 我们的 ASD 基础设施中确认的 MeshAgent 行为日志
虽然没有收集到恶意代码,但此时MeshAgent服务器仍在运行,因此可以按如下方式检查C&C服务器。
图 4. MeshAgent C&C 服务器
3.模式加载器
ModeLoader 是一种 JavaScript 恶意软件,过去一直被 Andariel 组织持续使用。它不是作为文件创建的,而是通过 Mshta 从外部下载并执行。在上一篇博文中,可以在 ASD 日志中确认该行为,如下所示。
图 5. 过去案例中确认的 ModeLoader
攻击者主要利用资产管理解决方案来执行下载ModeLoader的Mshta命令。当执行以下命令时,ModeLoader最终会从Mshta进程下载并运行,并定期尝试与C&C服务器通信。
图 6. 在我们的 ASD 基础设施中确认的 ModeLoader 安装命令
ModeLoader是用JavaScript开发的,并且经过混淆处理,但它提供的功能很简单。它定期连接到C&C 服务器 ( modeRead.php ),接收 Base64 加密的命令,执行命令,并将结果返回到C&C 服务器 ( modeWrite.php )。
图 7. ModeLoader 执行从 C&C 服务器接收到的命令
据推测,攻击者使用 ModeLoader 从外部安装了额外的恶意代码。事实上,您可以使用以下命令检查 AndarLoader 的执行历史记录,AndarLoader 安装在 %SystemDirectory% 中,名称为“SVPNClientW.exe”。
> cmd.exe /c tasklist
> cmd.exe /c c:windowssystem32SVPN*4.其他恶意软件攻击案例
攻击者使用 AndarLoader 和 ModeLoader 等后门恶意软件控制了受感染的系统,安装了 Mimikatz 并试图窃取系统中存在的凭据信息。在最新的Windows环境下,使用WDigest安全包获取明文密码基本上是不可能的,所以还要检查一条设置UseLogonCredential注册表项的命令。此外,攻击者还利用AndarLoader执行“wevtutil cl security”命令来删除受感染系统的安全事件日志。
此次确认的攻击活动的一个特点是,在大多数攻击案例中也发现了键盘记录恶意软件。该恶意软件不仅提供键盘记录,还提供剪贴板记录,并在“C:UsersPublicgame.db”路径中记录键盘记录数据和复制到剪贴板的数据。
图 8. 攻击中使用的键盘记录恶意软件
与 Kimsuky 组织类似,Andariel 组织在通过安装后门夺取控制权后,还进行了远程屏幕控制的额外工作。如上所述,安装MeshAgent用于远程屏幕控制,但也使用RDP,并且为此目的还确认了激活RDP服务的命令。此外,虽然没有收集到任何文件,但攻击期间似乎使用了 Frpc,它似乎也被用来通过 RDP 连接到位于专用网络上的受感染系统。
图 9. 启用 RDP 服务的命令
图10. Frpc估计执行日志
5. 结论
Andariel 组织与 Kimsuky 和 Lazarus 组织一样,是积极针对韩国的威胁组织之一。最初,攻击主要是为了获取安全相关信息,但后来攻击也以经济利益为目的。据了解,最初的入侵主要采用鱼叉式网络钓鱼攻击、水坑攻击、软件漏洞等方式,攻击过程中也存在利用已安装软件或利用漏洞传播恶意软件的情况。
用户应特别警惕来历不明的电子邮件附件或从网页下载的可执行文件,企业安全人员应加强对资产管理解决方案的监控,如果存在程序安全漏洞,应及时进行修补。此外,您还必须小心,提前将操作系统、浏览器等程序的最新补丁和V3更新到最新版本,以防止此类恶意软件的感染。
文件诊断
– Backdoor/JS.ModeLoader.SC197310 (2024.03.01.00)
– Trojan/Win.Generic.C5384741 (2023.02.19.01)
– Trojan/Win.KeyLogger.C5542383 (2023.11.16.01)
– Trojan/Win32.RL_Mimikatz.R366782 (2021.02.18.01)行为诊断
– CredentialAceess/MDP.Mimikatz.M4367IoC
MD5
– a714b928bbc7cd480fed85e379966f95 : AndarLoader (%SystemDirectory%SVPNClientW.exe)
– 4f1b1124e34894398aa423200a8ab894 : KeyLogger (%USERPROFILE%documentskerberos.tmp, %USERPROFILE%kl.exe, %SystemDirectory%dllhostsvc.exe)
– 2c69c4786ce663e58a3cc093c6d5b530 : ModeLoader
– 29efd64dd3c7fe1e2b022b7ad73a1ba5 : Mimikatz (%USERPROFILE%mimi.exe)C&C 地址
– privacy.hopto[.]org:443 : AndarLoader
– privatemake.bounceme[.]net:443 : AndarLoader
– 84.38.129[.]21 : MeshAgent
– hxxp://www.ipservice.kro[.]kr/index.php : ModeLoader
– hxxp://www.ipservice.kro[.]kr/view.php : ModeLoader
– hxxp://www.ipservice.kro[.]kr/modeRead.php : ModeLoader
– hxxp://panda.ourhome.o-r[.]kr/view.php : ModeLoader
– hxxp://panda.ourhome.o-r[.]kr/modeRead.php : ModeLoader
– hxxp://panda.ourhome.o-r[.]kr/modeView.php : ModeLoader
– hxxp://www.mssrv.kro[.]kr/view.php : ModeLoader
– hxxp://www.mssrv.kro[.]kr/modeView.php : ModeLoader
– hxxp://www.mssrv.kro[.]kr/modeRead.php : ModeLoader
– hxxp://www.mssrv.kro[.]kr/modeWrite.php : ModeLoader参考链接: https://asec.ahnlab.com/ko/62771/
图片来源网络目标可联系删除
