1. 概述
2024年12月,发现了一起针对国内大型律师事务所的有组织的APT(高级持续威胁)攻击。分析结果证实,此次袭击是由已知与朝鲜有关的 Kimsuky 所为。他们是一个专门从事各种间谍活动的组织,包括收集关键目标的敏感信息和进行侦察行动。
攻击者将包含恶意代码的韩国文件“韩国国防工业研究所国防工业数字创新研讨会(计划).hwp”发送给国内一家著名律师事务所。这些文件受密码保护,以逃避安全设备的检测,当用户打开文档时,他们会利用 OLE 对象功能在临时目录中创建大量文件。之后,当用户单击文件中的另一个诱饵文档时,将执行在临时目录中创建的文件并注册以下两个操作。
-
任务“TemporaryStatescleanesdfrs”:每 15 分钟从 C2 服务器下载 wis.db 文件。
-
“TemporaryStatescleansders_1”任务:将下载的 wis.db 文件的扩展名更改为 bat 并每 15 分钟运行一次。
因此,每 15 分钟就会从 C2 服务器下载并执行一个新的批处理脚本。
随附的 hwp 文件由“Hangeul & Computer Co., Ltd.”创作,最后由名为“scorpion”的用户于“2024 年 12 月 12 日晚上 7:11:34”保存。
1).hwp文件
攻击者将恶意软件文件作为 OLE(对象链接和嵌入)对象添加到 hwp 文件中。这会导致当用户打开 hwp 文件时在临时文件夹中创建各种恶意软件文件。
-
%TEMP%
此外,屏幕上还显示伪装成“韩国国防工业研究院国防工业数字创新研讨会(计划).pdf”和“韩国国防工业研究院国防工业数字创新研讨会(计划).docx”的诱饵文件,鼓励用户点击执行。
诱饵文档作为批处理文件而不是 pdf 或 docx 文件链接。单击 PDF 文档链接时,将执行“default.bat”(0337ebf5f6f3895bcb884731ac491f7f) 批处理文件;单击 Word 文档链接时,将执行“document.bat”(4ab80f99a8a16c0e413f527ae50b6439) 批处理文件。
2)hwp文件中包含诱饵文档(pdf、docx)
执行批处理文件时,会出现有关“韩国国防工业协会国防工业数字创新研讨会”的通知。然而,该文档所包含的内容均是捏造的虚假信息,旨在欺骗用户。
两个诱饵文档的原作者被识别为“pprb”,最后修改右侧Word文档的用户被识别为“scorpion”。
3)点击诱饵文档时运行的两个批处理文件
单击 PDF 文档链接时运行的“default.bat”批处理文件将执行以下命令。
-
减小命令窗口大小
-
执行诱饵文件“韩国国防工业协会国防工业数字创新研讨会(计划).pdf”
-
将从C2服务器下载恶意软件的任务(TemporaryStatescleanesdfrs)和执行恶意软件的任务(TemporaryStatescleansders_1)注册为任务调度程序中的计划任务。
-
打开计划任务中要引用的hwp文件时,移动路径并重命名临时文件中创建的文件。
“document.bat”批处理文件执行各种命令。
-
减小命令窗口大小
-
执行诱饵文件“韩国国防工业协会国防工业数字创新研讨会(计划).docx”
-
将从C2服务器下载恶意软件的任务(TemporaryStatescleanesdfrs)和执行恶意软件的任务(TemporaryStatescleansders_1)注册为任务调度程序中的计划任务。
-
打开计划任务中要引用的hwp文件时,移动路径并重命名临时文件中创建的文件。
4)批处理文件创建的计划任务
通过上述过程,创建了两个计划任务:“TemporaryStatescleanesdfrs”和“TemporaryStatescleansders_1”。这些计划任务每 15 分钟运行一次文件“1212.exe”(e2fec8d5acc5e7df77ddd299333db8f4) 和“1212_1.exe”(e2fec8d5acc5e7df77ddd299333db8f4)。
“1212.exe”和“1212_1.exe”文件是同一文件,并且使用 VbsEdit 的开发商 Adersoft 的证书进行代码签名。这两个文件被认为是使用 VbsEdit 创建的,并且与现有 Kimsuky 系列恶意软件中使用的技术相同。
%appdata% 路径中有 5 个文件。当每 15 分钟执行一次“1212.exe”和“1212_1.exe”文件时,将读取名为“1212.exe.manifest”和“1212_1.exe.manifest”的清单文件并执行特定脚本。
-
e2fec8d5acc5e7df77ddd299333db8f4 1212.exe, 1212_1.exe
-
84970168e4105b2b127c27c4a26300ad 1212.bat
-
b1bde0a7a0ed0c593da5f7114ba21740 1212.exe.manifest
-
81db5019efd1b7b1c4c644e999e19611 1212_1.exe.manifest
5)计划任务“TemporaryStatescleanesdfrs”
当执行“1212.exe”文件时,将执行“1212.exe.manifest”文件中的Base64编码脚本。
Base64 解码的脚本内容运行批处理文件“1212.bat”(84970168e4105b2b127c27c4a26300ad)。
“1212.bat”批处理文件从C2服务器下载数据并将其保存到特定路径。
-
%appdata%Microsoftwis.db
-
hxxps://www.elmer.com.tr/modules/mod_finder/src/Helper/1212_pprb_all/dksleks?newpa=comline
6) 计划任务“TemporaryStatescleansders_1”
当执行“1212_1.exe”文件时,会执行“1212_1.exe.manifest”文件中的Base64编码脚本。
Base64解码后的脚本内容将从定时任务TemporaryStatescleanesdfrs下载的“wis.db”更改为“wins.bat”,然后运行。
在分析时,C2 通信无法进行,这使得对 wis.db 文件的进一步分析变得困难。
3. 恶意软件感染的影响
如果感染恶意软件,会通过“TemporaryStatescleanesdfrs”定时任务从C2服务器下载wis.db文件,通过“TemporaryStatescleansders_1”定时任务下载的“wis.db”文件的扩展名会发生改变,然后作为批处理脚本执行。这意味着攻击者可以每 15 分钟通过 C2 服务器发送并执行一个新的批处理脚本文件。通过这种方式,攻击者可以从感染恶意软件的系统中收集更多信息,并且有空间执行其他恶意软件或将其用于其他攻击。
4. IoC
63a119714f01d9ff57c51614c9727f84 한국방위산업학회 방위산업 디지털 혁신 세미나(계획).hwp
0337ebf5f6f3895bcb884731ac491f7f default.bat
4ab80f99a8a16c0e413f527ae50b6439 document.bat
de2bb5f2ad0e5354b27d49a91b2050c1 hwp_doc.db
4fa124105cea13668248a86d7a9493ec hwp_pdf.db
e2fec8d5acc5e7df77ddd299333db8f4 1212.exe, 1212_1.exe
84970168e4105b2b127c27c4a26300ad 1212.bat
b1bde0a7a0ed0c593da5f7114ba21740 1212.exe.manifest
81db5019efd1b7b1c4c644e999e19611 1212_1.exe.manifest
ec7f17c6222642878c32f3ece61f1a1e sch_1212.db
88d25b3b16d6d8ba216beff155747ad4 sch_1212_1.db
C2
hxxps://www.elmer.com.tr/modules/mod_finder/src/Helper/1212_pprb_all/dksleks?newpa=comline
原文始发于微信公众号(Ots安全):【威胁分析】针对韩国国内某知名律师事务所的APT攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论