Kimsuky组织使用韩国企业有效证书签名的恶意软件攻击韩国用户

安实验室安全情报中心 (ASEC) 最近证实，Kimsuky 组织向国内公共机构分发了伪装成安装程序的恶意软件。所涉及的恶意软件是一个植入程序，它会创建Endoor ，这是在过去的文章“TrollAgent（Kimsuky 组织）在安全程序安装过程中感染”中讨论的攻击中使用的后门恶意软件。

虽然实际攻击中使用的植入式恶意软件的历史尚未得到证实，但使用植入式恶意软件生成的后门恶意软件的攻击案例在与植入式恶意软件的收集日期相似的时间得到了确认。攻击者使用后门下载额外的恶意软件或安装窃取屏幕截图的恶意软件。Endoor 也不断用于攻击，过去曾与Nikidoor一起使用，Nikidoor 已作为鱼叉式网络钓鱼攻击进行分发。

1、伪装成国内某事业单位安装文件的Dropper

该植入式恶意软件被伪装成韩国特定公共机构的安装文件。该图标被用作相关公共机构的标志，相关关键词可以在版本信息或安装页面找到。作为参考，由于未确认具有相同版本信息的正常程序，因此该程序可能没有伪装成现有程序，而只是使其看起来像正常程序。而且，在实际安装过程中，除了恶意代码之外，并没有正常安装的程序。

图1.伪装成特定的国内建设相关计划

该滴管不仅伪装了版本信息，而且还带有国内公司的有效证书签名。当执行释放器时，它会创建一个名为“src.rar”的内部压缩文件和一个名为“unrar.exe”的WinRAR工具。然后，使用WinRAR，给出密码“1q2w3e4r”，解压缩文件，创建后门并执行它。

图 2. Dropper 的进程树

2. Endoor后门

该释放器通过提供“install”作为参数来执行后门。使用该参数执行的后门将自身复制到“%USERPROFILE%svchost.exe”路径，并以“Windows Backup”名称在任务计划程序中注册自身。任务调度程序使用“backup”参数执行后门，然后后门可以连接到C&C服务器并接收命令。

该后门是用 Go 语言开发的，虽然经过混淆，但与上一个案例中发现的类型相同。过去，在“安全程序安装过程中感染TrollAgent（Kimsuky组）”的帖子中，它是使用与TrollAgent相同的证书进行签名和分发的，并且包含以下关键字，因此这里将其归类为Endoor。

图3. Go语言开发的Endor后门——过去的版本

Endor是一种后门恶意软件，传输被感染系统的基本信息，支持命令执行、文件上传下载、进程操作、Socks5代理等功能。此前，中国奇安信威胁情报中心并没有对恶意软件进行单独分类，而是公开了详细的分析信息。

3. 攻击案例#1

尽管尚未确认它是通过上述植入程序还是通过其他途径安装，但 Endor 被用于攻击的历史已在 ASD 基础设施中得到证实。以下日志被认为是 Kimsuky 小组使用不同的二进制文件更新 Endor。使用Curl从外部下载，名称为“rdpclip.dat”，未确认该文件，但从运行时使用了“install”参数以及文件大小来看，推测是不同版本恩多尔。

图 4. 使用 Curl 的 Endor 下载日志 – 估计

攻击者还在“%ALLUSERSPROFILE%cache.exe”路径中安装并使用了Mimikatsu，并且在执行日志中确认了“sekurlsa::logonpasswords”参数如下。

图 5. 使用 Mimikatsu 从受感染系统窃取凭证信息

在安装的恶意软件中，还有捕获并窃取受感染系统屏幕截图的恶意软件。该恶意软件是使用 Kbinani 的屏幕截图库 [3] 创建的，攻击者实现了一个功能，不仅可以捕获屏幕截图，还可以泄露屏幕截图。被盗的地址是本地主机“hxxp://127.0.0.1:8080/recv”，这似乎表明攻击者已经在受感染的系统上安装了代理，并正在使用它从外部窃取。

图6 截图盗取恶意软件源代码信息

4. 攻击案例#2（Nikidoor）

最近被证实的Endor的特点是使用Ngrok的免费域名地址“ngrok-free[.]app”作为其C&C服务器。在2024年2月确认上述案例后，2024年3月进一步确认的Endor也使用了与C&C服务器相同的“安装”和“备份”参数以及“ngrok-free[.]app”。

图 7. Endor 的 C&C 通信数据包

作为参考，上述地址也被用来传播Nikidoor，并且C&C服务器地址也被共享。Nikidoor 是一款来自 Kimsuky 组织的后门恶意软件，在文章“Kimsuky 通过伪装进口申报瞄准国内研究机构” [4] 中提到。与 AppleSeed 和 Endoor 等其他恶意软件一样，它会从受感染的系统中窃取信息并接收命令来创建恶意软件代码。可以执行操作。一个特征是字符串“Niki”在 PDB 路径字符串中连续使用。

PDB路径：C:UsersnikiDownloadsTroyDll.._BinDll.pdb

5. 结论

近期，Kimsuky集团利用国内企业有效证书签名、传播恶意软件的案例不断被证实。攻击者最终安装后门恶意软件，并可以使用它来窃取受感染系统中存在的用户信息。

用户应将V3更新至最新版本，提前预防恶意软件感染。

文件诊断

– Dropper/Win.Endoor.C5593202 (2024.02.25.01)
– Backdoor/Win.Endoor.C5593201 (2024.02.25.01)
– Backdoor/Win.KimGoBack.C5385331 (2024.02.20.03)
– Backdoor/Win.Endoor.C5598434 (2024.03.09.00)
– Backdoor/Win.Nikidoor.C5598774 (2024.03.10.00)

行为诊断

– Execution/MDP.Event.M18

IOC

MD5

– b74efd8470206a20175d723c14c2e872 : Dropper – 使用普通证书签名 (*App.exe)
– 7034268d1c52539ea0cd48fd33ae43c4 : Endor (svchost.exe)
– f03618281092b02589bca833f674e 8 a0：屏幕截图劫持（ag.dat）
– b8ffb0b5bc3c66b7f1b0ec5cc4aadafc：Endor – 附加确认（eng.db）
– 7beaf468765b2f1f346d43115c894d4b：Nikidoor（c.pdf）

C&C 地址

– hxxps://real-joey-nicely.ngrok-free[.]app/mir/index.php : 室内
– hxxps://fitting-discrete-lemur.ngrok-free[.]app/minish/index .php ：Endor – 附加验证
– hxxp://minish.wiki[.]gd/index.php ：Endor – 附加验证，Nikidoor
– hxxp://minish.wiki[.]gd/upload.php ：Nikidoor

下载地址

– hxxp://210.16.120[.]210/rdpclip.dat :​​ ​​Endor 预计下载
– hxxp://minish.wiki[.]gd/eng.db : Endor – 额外确认
– hxxp:// minish.wiki[.]gd/c.pdf：Nikidoor

参考链接： https://asec.ahnlab.com/ko/62117/

图片来源网络目标可联系删除