美国财政部外国资产控制办公室 (OFAC) 本周宣布对与朝鲜有关的 APT 组织实施制裁Kimsuky
Kimsuky APT组织 (又名 ARCHIPELAGO、Black Banshee、 Thallium、Velvet Chollima。该组织在控制下工作侦察总局 (RGB) 外国情报部门。 由卡巴斯基研究人员于 2013 年发现)首次命名APT43。
2020 年 10 月底, US-CERT 发布了一份有关 Kimusky 近期活动的报告 ,其中提供了有关其 TTP 和基础设施的信息。
APT组织主要针对韩国智库和组织,其他受害者分布在美国、欧洲和俄罗斯。
OFAC 因 Kimsuky APT 代表朝鲜政府开展情报活动而对其实施制裁。
“今天,在与外国合作伙伴的协调下,美国财政部外国资产控制办公室 (OFAC) 对八名驻外国的朝鲜民主主义人民共和国 (DPRK) 特工实施了制裁,这些特工为逃避制裁提供便利,包括创收以及支持朝鲜大规模杀伤性武器(WMD)计划的导弹相关技术采购。”阅读 OFAC 发布的新闻稿。“此外,OFAC 还制裁了网络间谍组织 Kimsuky ,因为他们收集情报以支持朝鲜的战略目标。”
美国当局还制裁了八名朝鲜外国特工,这些特工为逃避制裁和大规模杀伤性武器计划提供便利。
美国财政部外国资产控制办公室 (OFAC)宣布对四家实体和一名个人实施恶意制裁为支持朝鲜政府而进行的网络行动。
“朝鲜进行恶意网络活动,并部署通过欺诈手段获得就业机会的信息技术 (IT) 工人以赚取收入(包括虚拟货币),以支持金氏政权及其优先事项,例如其非法大规模杀伤性武器和弹道导弹计划。”
受制裁实体开展窃取资金的行动,以支持该政权的军事战略。
已知 Kimsuky TTP。
主要发现
-
Kimsuky APT 组织很可能自 2012 年以来一直在运营。
-
Kimsuky 很可能被朝鲜政权指派执行全球情报收集任务。
-
Kimsuky 采用常见的社会工程策略、鱼叉式网络钓鱼和水坑攻击来从受害者那里窃取所需的信息。[1],[]2
-
Kimsuky 最有可能使用鱼叉式网络钓鱼来获得对受害者主机或网络的初始访问权限。[3]
-
Kimsuky 针对韩国、日本和美国的个人和组织开展情报收集活动。
-
Kimsuky 的情报收集活动重点关注与朝鲜半岛、核政策和制裁相关的外交政策和国家安全问题。
-
Kimsuky 的具体目标是:
-
CISA、FBI 和 CNMF 建议此目标范围内的个人和组织加强防御并采取更高的意识状态。特别重要的缓解措施包括防范鱼叉式网络钓鱼、使用多因素身份验证以及用户意识培训。
被认定为各个领域的专家的个人,
智库,以及
韩国政府实体。[4],[5],[6],[7],[< /span>]8
技术细节
初始访问
Kimsuky 使用各种鱼叉式网络钓鱼和社会工程方法来获取初始访问权限 [TA0001 ] 到受害者网络。[9],[10],[11] 鱼叉式网络钓鱼(在电子邮件中嵌入恶意附件)是最常见的 Kimsuky 策略(网络钓鱼:鱼叉式网络钓鱼附件 [],[12]).[T1566.001]
-
APT 组织使用从通常目标之外的受害者那里窃取的网络托管凭据来托管其恶意脚本和工具。Kimsuky 很可能通过鱼叉式网络钓鱼和凭据收集脚本从受害者那里获得了凭据。在受害域名上,他们创建了模仿合法网站和服务的子域名,例如 Google 或雅虎邮件。[14]
-
Kimsuky 还向目标发送了良性电子邮件,这些电子邮件可能是为了在带有恶意附件或链接的后续电子邮件之前建立信任。
-
Kimsuky 定制其鱼叉式网络钓鱼和社会工程方法,以使用与目标相关的主题,例如 COVID-19、朝鲜核计划或媒体采访。[15]17],[16],[
Kimsuky 冒充韩国记者,与预定目标交换了几封善意的采访主题电子邮件,表面上是安排采访日期,并可能建立融洽关系。这些电子邮件的主题为“首尔 [已编辑电视节目] 的 Skype 采访请求”,开头要求收件人以嘉宾身份出现在节目中。APT组织邀请目标对象就朝韩问题和朝鲜半岛无核化谈判等话题接受Skype采访。
在收件人同意接受采访后,Kimsuky 发送了一封包含恶意文档的后续电子邮件,无论是作为附件还是作为正文中的 Google Drive 链接。该文档通常包含 BabyShark 恶意软件的变体(有关 BabyShark 的信息,请参阅执行部分)。当采访日期临近时,Kimsuky 发送了一封电子邮件取消采访。
Kimsuky 获取初始访问权限的其他方法包括以登录安全警报为主题的网络钓鱼电子邮件、水坑攻击、通过 torrent 共享网站分发恶意软件以及引导受害者安装恶意浏览器扩展 (网络钓鱼:鱼叉式钓鱼链接 [T1566.002],Drive-通过妥协[T1189],浏览器中的人< /span>]18]).[T1185 [
执行
获得初始访问权限后,Kimsuky 使用BabyShark恶意软件和 PowerShell 或 Windows Command Shell 执行 [TA0002]。
-
BabyShark 是基于 Visual Basic 脚本 (VBS) 的恶意软件。
-
开源报告表明 BabyShark 是通过包含链接或附件的电子邮件传递的(有关详细信息,请参阅“初始访问”部分)(网络钓鱼:鱼叉式链接 [T1566.002],网络钓鱼:鱼叉式网络钓鱼附件 [T1566.001])。Kimsuky 定制电子邮件网络钓鱼消息以符合目标的兴趣。观察到的目标是美国智库和全球加密货币行业。[23]
-
Kimsuky 使用 PowerShell 通过使用目标内存来运行来自互联网的可执行文件,而无需接触计算机上的物理硬盘(命令和脚本解释器:PowerShell [T1059.001])。无需通过 HTA 文件或 调用 powershell.exe 即可执行 PowerShell 命令/脚本。[24],[25],[26],[< /span>]27mshta.exe
首先,受感染的主机系统使用本机 Microsoft Windows 实用程序mshta.exe从远程系统 () 下载并执行 HTML 应用程序 (HTA) 文件=2>签名二进制代理执行:Mshta [T1218.005])。
然后,HTA 文件下载、解码并执行编码的 BabyShark VBS 文件。
脚本通过创建来维护持久性[TA0003]启动时运行的注册表项(引导或登录自动启动执行:注册表运行项/启动文件夹 [T1547. 001])。
然后收集系统信息 (系统信息发现 [T1082]),将其发送到操作员的命令控制(C2)服务器,并等待进一步的命令。[19],[< a i=7>20],[21],[22< /span>]
持久化
Kimsuky 展现了建立持久力的能力持久性 [TA0003] 通过使用恶意浏览器扩展、修改系统进程、操纵 autostart 执行、使用远程桌面协议 (RDP) 以及更改应用程序的默认文件关联。通过使用这些方法,Kimsuky 可以获得登录名和密码信息和/或在某些应用程序白名单解决方案之外启动恶意软件。
-
2018 年,Kimsuky 使用 Google Chrome 网上应用店提供的扩展程序来感染受害者并从他们的浏览器窃取密码和 Cookie (Man-in-the-浏览器[T1185])。该扩展程序的评论给了它五星级的评级,但是评论文本适用于其他扩展程序或者是负面的。这些评论可能是由遭到入侵的 Google+ 帐户留下的。[28]
-
Kimsuky 可以通过使用实用程序与服务交互或直接修改注册表项来安装可在启动时执行的新服务(启动或登录自动启动执行< a i=2>[T1547])。服务名称可能会使用相关操作系统功能的名称进行伪装,或者伪装成良性软件。服务可以使用管理员权限创建,但在系统权限下执行,因此攻击者还可以使用服务将权限从管理员升级到系统。他们还可以通过服务执行直接启动服务。[29],[30]
-
在 2018 年 5 月的 STOLEN PENCIL 行动中,Kimsuky 使用了 GREASE 恶意软件。GREASE 是一款能够添加 Windows 管理员帐户并启用 RDP,同时避免防火墙规则的工具(远程服务:远程桌面协议[T1021.001]).[31]
-
Kimsuky 使用文档窃取程序模块来更改注册表 ( 中与朝鲜文字处理器 (HWP) 文档(.hwp 文件)关联的默认程序事件触发执行:更改默认文件关联 [T1546.001])。Kimsuky 操纵默认的注册表设置来打开恶意程序而不是合法的 HWP 程序(HWP 是韩语文字处理器)。在合法的 HWP 程序最终打开文档之前,恶意软件会读取 HWP 文档中的内容并通过电子邮件发送。[32] Kimsuky 还通过格式化来针对 Microsoft Office 用户他们的文档位于 文件中,而不是 中,并将相应地调整其宏。[33].docx.hwp
-
Kimsuky 通过上传基于开源超文本处理器 (PHP) 的 Web shell 的攻击者修改版本来维护对受感染域的访问;这些 Web shell 使 APT 攻击者能够上传、下载和删除受感染域上的文件和目录 (服务器软件组件:Web Shell [])。攻击者经常在修改后的 Web shell 代码中添加“恐龙”引用。[34]T1505.003
权限提升
Kimsuky 使用众所周知的方法进行权限提升权限提升[TA0004]。这些方法包括将脚本放置在 Startup 文件夹中、创建和运行新服务、更改默认文件关联以及在 explorer.exe 中注入恶意代码。
-
Kimsuky 使用 Win7Elevate(Metasploit 框架的一种漏洞)绕过用户帐户控制,将恶意代码注入explorer.exe(进程注入< /span>]35)的磁盘中,并将该文件作为库加载,确保这些工具甚至可以在系统上使用重新启动后。这允许权限升级。[])。该恶意代码从资源中解密其间谍库(击键记录和远程控制访问工具以及远程控制下载和执行工具的集合),无论受害者的操作系统如何。然后,它将解密的文件保存到用户临时文件夹中具有随机但硬编码名称(例如,T1055 [dfe8b437dd7c417a6d.tmp
-
在注入发生之前,恶意软件会设置必要的权限(见图 1)。恶意软件写入其恶意动态链接库 (DLL) 的路径,并通过在 explorer.exe 中创建远程线程来确保加载远程进程(进程注入 ]36])。[T1055 [
图 1:为注入设置的权限 [37]
防御规避
Kimsuky 使用众所周知且广泛使用的方法防御规避 [TA0005 ] 网络内。这些方法包括禁用安全工具、删除文件和使用 Metasploit。[38]、[39]
-
Kimsuky 的恶意 DLL 在启动时运行,将 Windows 防火墙注册表项清零(即关闭)(见图 2)。这将禁用 Windows 系统防火墙并关闭 Windows 安全中心服务,从而防止该服务向用户发出有关已禁用防火墙的警报(见图 2)(削弱防御:禁用或修改系统防火墙[T1562.004])。[40< a i=6>]
图 2:注册表中禁用的防火墙值 [41]
-
Kimsuky 使用键盘记录器,在将泄露的数据传输到其 C2 服务器后删除磁盘上的数据(主机上的指示器删除:文件删除 [T1070.004])。[42]
-
Kimsuky 使用了mshta.exe,这是一个执行 Microsoft HTA 的实用程序。它可用于通过受信任的 Windows 实用程序(签名二进制代理执行:Mshta [T1218.005])。它还可用于绕过应用程序允许列表解决方案(滥用海拔控制机制:绕过用户访问控制 [T1548 .002]).[43],[44].hta
-
Win7Elevate(如上所述)也用于规避传统安全措施。Win7Elevatve是Metasploit框架开源代码的一部分,用于向explorer.exe注入恶意代码(进程注入[< a i=3>T1055])。恶意代码从资源中解密其间谍库,将解密的文件以随机但硬编码的名称保存到受害者临时文件夹中的磁盘上,并将该文件作为库加载。[ 45],[46],[47< a i=10>]
凭证访问
Kimsuky 使用合法工具和网络嗅探器从网络浏览器、文件和键盘记录器中获取凭据(凭据访问 [< a i=3>TA0006])。
-
Kimsuky 使用内存转储程序而不是使用众所周知的恶意软件,并离线执行凭据提取。Kimsuky 使用 ProcDump,这是一种 Windows 命令行管理工具,也可用于 Linux,它允许用户根据某些标准(例如高中央处理单元(CPU))创建进程的故障转储/核心转储)利用率(操作系统凭据转储 [T1003])。 ProcDump 监视 CPU 峰值并在满足某个值时生成故障转储;它将信息传递到保存在计算机上的Word文档。它可以用作通用进程转储实用程序,攻击者可以将其嵌入到其他脚本中,如 Kimsuky 在 BabyShark 恶意软件中包含 ProcDump 所示。[48< /span>]
-
根据开源安全研究人员的说法,Kimsuky 滥用 Chrome 扩展程序从浏览器窃取密码和 Cookie(浏览器中的人 [T1185]).[49],[]51 的 JavaScript 文件(见图3)。[] 鱼叉式网络钓鱼电子邮件将受害者引导至网络钓鱼网站,该网站向受害者显示良性 PDF 文档,但无法查看该文档。然后,受害者被重定向到官方 Chrome Web Store 页面以安装 Chrome 扩展程序,该扩展程序能够窃取 cookie 和网站密码,并从单独的网站加载名为 50jQuery.js
图 3:JavaScript 文件,名为 jQuery.js [52]
-
Kimsuky 还使用基于 PowerShell 的键盘记录器(名为 MECHANICAL)和网络嗅探工具(名为 Nirsoft SniffPass)(输入捕获:键盘记录 [< /span>]53,也是一个“加密劫持者”。这是一种使用受害者的计算机来挖掘加密货币的工具。Nirsoft SniffPass 能够获取通过非安全协议发送的密码。[])。MECHANICAL 将击键记录到 T1040 [网络嗅探], T1056.001%userprofile%appdataroamingapach.{txt,log}
-
Kimsuky 使用 PHProxy(一种用 PHP 编写的开源 Web 代理)的演员修改版本来检查受害者与受害者访问的网站之间的 Web 流量,并收集受害者输入的任何凭据。[54]
发现
Kimsuky 枚举受害者计算机和网络的系统信息和文件结构 (Discovery [TA0007 ])。Kimsuky 似乎依赖使用受害者的操作系统命令提示符来枚举文件结构和系统信息(文件和目录发现[T1083])。该信息被定向到 C:WINDOWSmsdatl3.inc,由恶意软件读取,并可能通过电子邮件发送到恶意软件的命令服务器。[55]< /span>
收集
Kimsuky 通过其 HWP 文档恶意软件及其键盘记录器从受害者系统收集数据(收集 [ TA0009])。HWP 文档恶意软件会更改注册表中的默认程序关联以打开 HWP 文档(事件触发执行:更改默认文件关联 [T1546.001])。当用户打开 HWP 文件时,注册表项更改会触发恶意软件的执行,该恶意软件打开 HWP 文档,然后将 HWP 文档的副本发送到对手控制下的帐户。然后,恶意软件允许用户正常打开文件,而不向用户发出任何发生任何情况的指示。键盘记录器拦截击键并将其写入 C:Program FilesCommon FilesSystemOle DBmsolui80.inc 并记录用户按键的活动窗口名称(输入捕获:键盘记录 [T1056.001])。还有另一种键盘记录器变体,可将击键记录到 C:WINDOWSsetup.log。[56]
Kimsuky 还使用了 Mac OS Python 植入程序,该植入程序从 Mac OS 系统收集数据并将其发送到 C2 服务器(命令和脚本解释器:Python [T1059.006])。Python 程序根据 filedown.php 后指定的 C2 选项下载各种植入程序(见图 4)。
图 4:针对 MacOS 的 Python 脚本 [57]
命令与控制
Kimsuky 使用了经过修改的 TeamViewer 客户端版本 5.0.9104,用于命令和控制 [ TA0011] (远程访问软件 [T1219])。在初始感染期间,服务“远程访问服务”被创建并调整为在系统启动时执行C:WindowsSystem32vcmon.exe(引导或登录自动启动执行:注册表运行键/启动文件夹 [T1547.001])。每次执行vcmon.exe时,它都会通过将注册表值清零来禁用防火墙(削弱防御:禁用或修改系统防火墙 [T1562.004])。然后,程序通过更改 TeamViewer 组件中的 TeamViewer 字符串来修改 TeamViewer 注册表设置。然后,启动程序会配置多个注册表值,包括 SecurityPasswordAES,用于控制远程访问工具的工作方式。 SecurityPasswordAES 注册表值代表远程用户用于连接 TeamViewer 客户端的密码哈希值(使用备用身份验证材料:传递哈希值 [T1550.002 ])。通过这种方式,攻击者可以设置预共享身份验证值来访问 TeamViewer 客户端。然后,攻击者将执行 TeamViewer 客户端netsvcs.exe。[58]
Kimsuky 一直使用一致的格式。在最近使用的 URL 中 -express[.]php?op=1 - 似乎有一个从 1 到 3 的选项范围。[59]
数据渗出
网络安全公司的开源报告描述了 Kimsuky 用来泄露被盗数据的两种不同方法:通过电子邮件或通过以 MD5 哈希形式生成的 RC4 密钥或随机生成的 117 字节缓冲区 (< a i=1>渗漏[TA0010])。
没有迹象表明该行为者在观察到的渗漏过程中摧毁了计算机,这表明 Kimsuky 的目的是窃取信息,而不是破坏计算机网络。Kimsuky 发送或接收泄露信息的首选方法是通过电子邮件,受害者计算机上的恶意软件会在将数据发送到 C2 服务器之前对数据进行加密(存档收集的数据 [T1560])。Kimsuky 还在受害者的电子邮件帐户中设置自动转发规则(E邮件收集:电子邮件转发规则 [T1114 .003])。
Kimsuky 还使用以 MD5 哈希形式生成的 RC4 密钥或随机生成的 117 字节缓冲区来窃取被盗数据。数据以 RSA 加密方式发送(E加密通道:对称加密 [T1573.001C:Program FilesCommon FilesSystemOle DB< a i=4>])。Kimsuky 的恶意软件构建了一个 1120 位公钥,并用它来加密 117 字节缓冲区。生成的数据文件保存在 (数据暂存:本地数据暂存 [T1074.001])。
原文始发于微信公众号(紫队安全研究):美国政府宣布对与朝鲜有联系的 APT 组织 Kimsuky 实施制裁
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论