疑似Kimsuky针对韩国军工行业的攻击

  • A+
所属分类:安全新闻

概述

    Kimsuky 是位于朝鲜的APT组织,又名(Mystery Baby, Baby Coin, Smoke Screen, BabyShark, Cobra Venom)等,最早由Kaspersky在2013年披露,该组织长期针对于韩国的智囊团、政府外交、新闻组织、教育学术组织等进行攻击,在过去几年里,他们将攻击目标扩大到包括美国、俄罗斯和欧洲各国在内的国家。主要目的为窃取情报、间谍活动等。该组织十分活跃,常用的攻击载荷为带有漏洞的hwp文件、恶意宏文件、释放载荷的PE文件等。


基本信息


我们在日常的威胁狩猎中,监测到一起朝鲜APT组织的PE样本,样本将图标伪装成微软相关的产品,诱使用户点击,用户打开后将展示正常的诱饵文档,同时连接远程地址执行后续后门操作。

疑似Kimsuky针对韩国军工行业的攻击

分析


样本启动后创建名为"windows update {2021-1020-02-03-A}"的互斥体防止多开,互斥体中暴露出明显的时间日期,但是与时间戳信息 2021-01-23 02:11:43 并不匹配,在这里更多的可能代表着后门的版本信息。

疑似Kimsuky针对韩国军工行业的攻击


随后启动4个线程,完成主要后门操作:

线程1

无(return 1)

线程2

释放诱饵文档运行

线程3

使用 mshta.exe 执行hxxp://  vpn[.]atooi[.]ga/?query=5

线程4

自删除

在第二个线程中将释放诱饵文档 1. 2021년사업계획 (시설본부자료참고보완) - 210316-1.hwp(1.2021年经营计划(参考设施总部补充)- 210316-1)并使用ShellExecuteExW运行。
疑似Kimsuky针对韩国军工行业的攻击
文档名称为《2021年项目采购计划》。

疑似Kimsuky针对韩国军工行业的攻击


经过翻译后(识图翻译结果,原文档为韩文),文档中采购订单的单位多为空军、陆军等,加上文档为hwp格式(韩国主流文字处理软件Hangul Office专用的文档格式,也是政府使用的标准文档格式之一)我们推测此次受攻击的对象为韩国军事机构。

疑似Kimsuky针对韩国军工行业的攻击


第三个线程中,使用 mshta.exe 执行hxxp:// vpn[.]atooi[.]ga/?query=5,截止到分析链接已经失效。

疑似Kimsuky针对韩国军工行业的攻击

第四个线程中,在临时目录下释放bat脚本实现自删除操作。

疑似Kimsuky针对韩国军工行业的攻击

后续DLL


根据Kimsuky历史活动流程,我们关联到了两个疑似为此次活动后续dll的样本。

MD5

FileSize

Creation Time

CC

7f4624a8eb740653e2242993ee9e0997

306.50 KB (313856 bytes)

2021-03-17 21:07:57

27[.]102.127.240

d4da4660836d61db95dd91936e7cfa4a

 302.50 KB (309760  bytes)

2021-03-26 07:21:06

27[.]102.127.240

两个样本功能基本一致,这里拿 d4da4660836d61db95dd91936e7cfa4a 进行后续分析。

样本执行后,会创建两个互斥体 "windows update {21-1060-01-20-I}"与 "windows update {21-1060-01-20-D}",来确保只有一份实例运行,互斥体的名称猜测为木马的版本信息。


疑似Kimsuky针对韩国军工行业的攻击

之后创建一个线程,动态解密内置的一段加密数据,解密后为一段Shellcode

疑似Kimsuky针对韩国军工行业的攻击


使用以下API将Shellcode注入到 rundll32.exe执行。

疑似Kimsuky针对韩国军工行业的攻击


Shellcode将连接 IP: 27[.]102.127.240,成功后使用recv()函数接收数据执行,目前链接已经失效,我们暂未获取到其它数据。

疑似Kimsuky针对韩国军工行业的攻击


关联


此次Kimsuky后门使用的算法与历史攻击使用的算法极为相似,和以往Kimsuky相同,样本中使用的API和字符串均采用加密后的的十六进制形式存储,解密方法较之前有一点差异,历史活动是将字符串的前32位经过str2hex当作key,与后面str2hex的数据进行异或。

疑似Kimsuky针对韩国军工行业的攻击


这次活动是将字符串的前16位经过str2hex当作key,与后面str2hex的数据进行异或,总体来说变化并不大。

疑似Kimsuky针对韩国军工行业的攻击


导出函数对比,使用相似的导出函数名称。

疑似Kimsuky针对韩国军工行业的攻击

疑似Kimsuky针对韩国军工行业的攻击


互斥体信息,都透露出软件版本或时间戳信息。

疑似Kimsuky针对韩国军工行业的攻击

疑似Kimsuky针对韩国军工行业的攻击



END


附录 IOC


d4da4660836d61db95dd91936e7cfa4a
815c690bfc097b82a8f1d171cd00e775
7f4624a8eb740653e2242993ee9e0997
hxxp://vpn[.]atooi[.]ga/?query=5
27[.]102.127.240

疑似Kimsuky针对韩国军工行业的攻击
团队介绍
疑似Kimsuky针对韩国军工行业的攻击
TEAM INTRODUCTION

360高级威胁研究院

360高级威胁研究院是360政企安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。

本文始发于微信公众号(360威胁情报中心):疑似Kimsuky针对韩国军工行业的攻击

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: