Kimsuky APT组织利用blogspot分发恶意载荷的攻击活动分析

  • A+
所属分类:安全新闻

概述

Kimsuky,别名Mystery Baby、Baby Coin、Smoke Screen、Black Banshe等。是疑似具有东亚国家背景的APT组织,该团伙长期针对韩国政府、新闻机构等目标发起攻击活动。该组织常用社会工程学、鱼叉邮件、水坑攻击等手段投递恶意软件,拥有功能完善的恶意代码武器库。与Konni APT组织存在基础设施重叠等关联性。

近日,奇安信红雨滴团队在日常高价值样本狩猎过程中,捕获多例疑似Kimsuky组织的攻击样本。根据红雨滴研究人员跟踪分析,此次的攻击活动有如下特点:

1.   此次发现的样本都以案件费用支付委托书为诱饵。
2.   此次活动中的样本所加载的Payload均采用多层下载链,最终使用blogspot博客系统分发最终载荷,为溯源增加了难度。
3.   文档使用恶意VBA代码,捕获到文本输入再执行核心恶意宏代码。
4.   未发现影响国内,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括威胁情报平台(TIP)、天眼高级威胁检测系统、NGSOC、奇安信态势感知等,都已经支持对此APT攻击团伙攻击活动的精准检测。



样本分析

01 基本信息

MD5

FileName

8de75256d0e579416263cb3c61fc6c55

악성.docm(酬劳委托书(内容))

0821884168a644f3c27176a52763acc9

사례비지급의뢰서.doc(案件费用支付申请表)

95c92bcfc39ceafc1735f190a575c60c

사례비지급의뢰서(양식).doc (案件费用支付申请表(表格))


本次捕获的样本打开后都会直接展示诱饵内容,诱导迷惑受害者启用恶意宏。

Kimsuky APT组织利用blogspot分发恶意载荷的攻击活动分析


02 详细分析

MD5

8de75256d0e579416263cb3c61fc6c55

创建时间

2021-07-19T08:24:00Z

创建者

USER


本文以MD5:8de75256d0e579416263cb3c61fc6c55为主要分析对象。原始样本为docx格式文件,运行后启用宏,执行恶意宏代码。

通过AutoOpen函数将标志qazwsx置为0,随后通过Selection.TypeText监控文本输入动作,执行恶意VBA函数。仅仅通过打开word是无法执行核心宏代码的,实现了一定的免杀效果。

Kimsuky APT组织利用blogspot分发恶意载荷的攻击活动分析


核心函数的功能是从http[:]//1213rt.atwebpages.com/cohb/d.php?filename=corona下载Base64数据解码后,写入到%Temp%OneDriver.exe文件中,并使用wcript.ex执行VBS代码。

Kimsuky APT组织利用blogspot分发恶意载荷的攻击活动分析


请求到的数据如下,折叠的Afghhhah函数作为base64解码函数。

Kimsuky APT组织利用blogspot分发恶意载荷的攻击活动分析


以下是VBS执行后的行为

  1. 创建并写入名为%appdata%Microsoftdesktop.ini的VBS文件。
  2. 在启动程序路径中创建Internet Explorer的快捷方式文件,%startup%Internet Explorer.lnk。
  3. Internet Explorer快捷方式运行%AppData%Microsoftdesktop.ini 文件。

 

以下是desktop.ini的文件内容,请求后https://kimshan600000.blogspot.com/2021/07/1.html,其网页携带的Payload解析,再次base64解码执行载荷。Payload直接嵌入到正文中。

Kimsuky APT组织利用blogspot分发恶意载荷的攻击活动分析



Kimsuky APT组织利用blogspot分发恶意载荷的攻击活动分析




4. 根据历史披露文章,最终后门是收集用户系统信息,侦察受感染的系统。

  • 收集进程列表

  • 收集操作系统信息

  • 收集 .NET 版本信息

  • 收集 MicrosoftOffice Excel 程序版本信息

  • 收集最近的可执行文件列表

  • 收集固定到任务栏的快捷方式列表

  • 收集到的信息作为参数发送到攻击者服务器。

关联分析

下述样本为Kimsuky组织在过往的攻击活动中使用的样本。

MD5

95c92bcfc39ceafc1735f190a575c60c    

文件名

사례비지급의뢰서(양식)

Kimsuky APT组织利用blogspot分发恶意载荷的攻击活动分析


而我们此次捕获样本与之前的已知样本在VBA执行流程,代码和攻击载荷落地极其相似。但不同的是,此次是从网络设施中下载载荷,增加了溯源的困难度和增加了查杀难度。

Kimsuky APT组织利用blogspot分发恶意载荷的攻击活动分析



总结

Kimsuky APT组织是一个长期活跃的攻击团伙,武器库十分强大,奇安信威胁情报中心红雨滴团队将持续关注披露相关攻击活动。同时,奇安信威胁情报中心提醒用户在日常的工作中,切勿随意打开来历不明的文件,不安装未知来源的APP,提高个人网络安全意识。

奇安信红雨滴团队提醒广大用户,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行夸张的标题的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行简单判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。

目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。

Kimsuky APT组织利用blogspot分发恶意载荷的攻击活动分析


IOCs

MD5

8de75256d0e579416263cb3c61fc6c55

0821884168a644f3c27176a52763acc9

95c92bcfc39ceafc1735f190a575c60c

 

URL

hxxp://1213rt.atwebpages.com/cohb/d.php?filename=corona

hxxp://wbg0909.scienceontheweb.net/0412/download.php?filename=corona

hxxps://kimshan600000.blogspot.com/2021/07/1.html

hxxps://smyun0272.blogspot.com/2021/06/dootakim.html

hxxp://alyssalove.getenjoyment.net/0423/v.php


参考链接

[1] https://asec.ahnlab.com/ko/24220/


本文始发于微信公众号(奇安信威胁情报中心):Kimsuky APT组织利用blogspot分发恶意载荷的攻击活动分析

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: