Andariel组织在针对韩国的攻击活动中使用勒索软件

admin 2021年10月27日09:53:03安全新闻评论52 views1961字阅读6分32秒阅读模式
Andariel组织在针对韩国的攻击活动中使用勒索软件点击上方蓝字关注我们


Andariel组织在针对韩国的攻击活动中使用勒索软件


概述


2021年4月,卡巴斯基VirusTotal上发现了一个以韩文命名且带有诱饵的可疑Word文档。该文档包含一个陌生的宏,并使用新技术植入下一阶段有效载荷。深入分析后,研究人员基于代码重叠度,类似的战术、技术和程序(TTPs)将此次攻击归因于Andariel组织。

该组织自2020年年中开始,利用恶意Word文档和伪装成PDF文档的文件作为感染媒介,传播恶意后门。值得注意的是,研究人员发现一名受害者还感染了自定义勒索软件。这意味着此次攻击行为很可能是受经济利益驱使的。

Andariel组织在针对韩国的攻击活动中使用勒索软件

初始感染


攻击者将武器化文档作为初始感染媒介发送给受害者。这些文件使用了多种技术手段以逃避检测。

初始感染可以总结如下:

  1. 用户打开恶意文档,并允许执行宏;

  2. 弹出一个消息框;

  3. 当前文档作为HTML被保存到%temp%路径下,并相应地将所有图像文件分别存储在同一目录中;

  4. 显示诱饵文档;

  5. %temp%[document name]image003.png转换成BMP文件格式,并添加.zip扩展名 ;

  6. 使用mshta.exe执行包含HTML应用程序代码image003.zip文件;

  7. 删除之前创建的临时文件。


image003.zip实际上是一个包含第二阶段有效载荷的HTML应用程序文件。该文件执行后将在C:/Users/Public/Downloads/Winvoke.exe目录中释放另一个有效载荷。


第二阶段有效载荷


第二阶段有效载荷负责与C2服务器通信,并释放第三阶段有效载荷。第二阶段恶意软件运行时会使用嵌入的16字节XOR密钥来解密Base64编码的有效载荷。解密后的有效载荷是另一个在内存中运行的可移植可执行文件。


Andariel组织在针对韩国的攻击活动中使用勒索软件


第二阶段有效载荷的感染过程:


  1. 创建名为Microsoft32的互斥量;

  2. 析API地址:base64解码+RC4解密密钥[email protected]#$%^&*()!US;

  3. 检索 C2 地址:base64解码 + 自定义XOR解密;

  4. 与C2通信。

第三阶段有效载荷


第三阶段有效载荷是通过第二阶段有效载荷创建的,在操作中交互执行,并存在于x64和x86版本中。其使用Internet Explorer或Google Chrome图标和相应的文件名,将自身伪装成合法的互联网浏览器。第三阶段有效载荷的结构与第二阶段的相同,如下图所示:


Andariel组织在针对韩国的攻击活动中使用勒索软件


该有效载荷执行后会检查QD33qhhXKK互斥量,并通过搜索系统中是否存在特定模块,以判定系统是否存在沙盒环境的迹象。需要检查的模块名称字符串使用硬编码的 XOR密钥(0x4B762A554559586F6A45656545654130)进行解码。


完成环境检查后,将使用相同的XOR密钥解密主载荷,并使用rundll32.exe启动。然后使用DES提取和解密三个C2地址,这些C2指向同一IP (23.229.111[.]197)。然后恶意软件会向C2服务器发送一个硬编码字符串:“HTTP 1.1/member.php SSL3.4”。


Andariel组织在针对韩国的攻击活动中使用勒索软件


接下来,它将检查C2的响应数据是否为“HTTP 1.1 200 OK SSL2.1”,如果是则开始执行后门操作。


勒索软件


有趣的是,一名受害者在感染第三阶段有效载荷后还收到了自定义的勒索软件。该勒索软件由命令行参数控制,可以从C2检索加密密钥,或者作为启动时的参数。


启动时,勒索软件会检查参数的数量。如果参数数量少于 6,恶意软件会自行终止。如果没有指定加密文件的扩展名,该勒索软件将使用.3nc004作为默认扩展名,且使用默认的勒索说明文件名3nc004.txt。如果未指定受害者 ID,勒索软件将生成一个由24字符组成的随机ID。


如果使用 -s(-S) 选项执行勒索软件,它会将受害者ID发送到C2服务器,并接收初始向量和用于加密文件的密钥。每个字符串的长度为32个字符。当勒索软件与C2通信时,它将使用与第三阶段有效载荷相同的身份验证过程和字符串。


Andariel组织在针对韩国的攻击活动中使用勒索软件


该自定义的勒索软件使用AES-128 CBC模式算法来加密受害者机器上,除扩展名为“.exe”、“.dll”、“.sys”、“.msiins”和“.drv”的系统关键文件之外的所有文件,无论文件大小。但是,由于重要的系统配置文件也会受到加密过程的影响,因此可能导致系统不稳定。


最后,该勒索软件会在桌面和启动文件夹中释放勒索说明文件,并使用 notepad.exe打开。


总结


此次攻击主要针对的国家为韩国,目标行业涉及制造、家庭网络服务、媒体和建筑行业。仔细检查整个感染过程,研究人员发现Andariel组织有意通过此次活动传播勒索软件,通过这样做,更加突显其作为一个有经济动机国家支撑的威胁组织的地位。

Andariel组织在针对韩国的攻击活动中使用勒索软件

END



Andariel组织在针对韩国的攻击活动中使用勒索软件


好文!必须在看

本文始发于微信公众号(SecTr安全团队):Andariel组织在针对韩国的攻击活动中使用勒索软件

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年10月27日09:53:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Andariel组织在针对韩国的攻击活动中使用勒索软件 http://cn-sec.com/archives/399520.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: