概述
近日,奇安信红雨滴团队在日常高价值样本狩猎过程中,捕获疑似Kimsuky组织利用新冠疫情相关信息为诱饵针对韩国地区的攻击样本。根据红雨滴研究人员跟踪分析,此次的攻击活动有如下特点:
诱饵目标为韩国某地方土地管理局。诱饵内容大概是该地区针对COVID-19疫情的处理流程和发热统计表格。
使用PIF可执行文件格式伪装成PDF文件。
使用了新版的远控软件。
相关攻击未发现影响国内,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括威胁情报平台(TIP)、天眼高级威胁检测系统、NGSOC、奇安信态势感知等,都已经支持对此APT攻击团伙攻击活动的精准检测。
样本信息
相关恶意样本基础信息如下:
MD5 | 946f787c129bf469298aa881fb0843f4 |
文件名 | 210927 코로나대응(보령-태안1)_취합_수정.PIF |
文件大小 | 834.52 KB |
时间戳 | 星期六, 11.09.2021 07:33:38 UTC |
原始样本释放的hwp文档诱饵如下:
详细分析
样本是一个伪装为PDF文档的PIF可执行文件,其是一个Loader,作用为释放诱饵和载荷。通过解密加密的字符串进行API函数地址获取。首先会遍历列表去匹配Library的名字。
然后解密传入的API加密字符串和Library字符串。然后通过LoarLibrary和GetProcAddress获取函数。
具体的解密函数如下,采用python3实现。
读取文件自身,获取数据,最终在文件夹C:\ProgramData\写入诱饵文件和载荷,并运行。
写入的文件如下图所示:
启动载荷的参数如图所示为 “iDmzQtvReUSCdTn”。
MD5 | e33a34fa0e0696f6eae4feba11873f56 |
文件名 | Icon.PIF |
时间戳 | 星期六, 11.09.2021 01:13:44 UTC |
此载荷使用了相同密钥'zcgXlSWkj314CwaYLvyh0U_odZH8OReKiNIr-JM2G7QAxpnmEVbqP5TuB9Ds6fFtE',相同解密流程。
校验参数个数后,判断根据参数进进行不同的操作。
参数1:iDmzQtvReUSCdTn
该参数为装载器启动默认参数,主要功能包括复制自身,注册开机启动注册表,启动拷贝后的程序并传入参数2。
将自身拷贝到当前文件夹中的system32文件夹中,并更名为smss.exe。
注册表参数如图所示,传入了参数2。
然后再次运行拷贝后的程序,传入参数2,结束自身。
参数2:zWbTLWgKymXMDwZ
校验参数,参数如果为zWbTLWgKymXMDwZ的话,隐藏错误显示框。并再次判断参数个数,
当使用参数2的时候且参数个数大于等于3,则会触发特定文件删除功能。写入大量空白数据,进行随机更名后然后删除文件。
字符串解密,密钥为0x9F,8字节为一组。
拼接字符串后,像发送函数传入参数进行网络连接测试。能正常接收信息后,进入功能分发处。
RAT功能分发函数,疑似使用Base64解码和AES解密。
uid后面接磁盘序列号,sep接特定字符,data获取到的数据。
Sep特定字符如下,该RAT目前只用了2,3的字符。
C2命令 | 功能 |
3 | 修改当前目录 |
4 | 修改文件日期 |
5 | 结束特定进程 |
6 | 获取进程权限 |
7 | 删除文件 |
8 | 创建新线程,破坏文件后删除 |
9 | 执行命令 |
10 | 注册DLL |
11 | 加载插件 |
12 | 读取文件 |
13 | 写入文件 |
14 | 获取系统时间 |
15 | 获取系统时间 |
16 | 删除开机启动注册表 |
17 | 获取主机名,计算机名,适配器信息 |
18 | 获取上次获取全局信息时间 |
19 | 获取%temp%目录 |
20 | 读取PMS*文件信息(Unicode) |
21 | 读取PMS*文件信息 |
溯源与关联
奇安信威胁情报中心分析人员通过对此次捕获样本所带的恶意代码、释放的木马文件进行分析后,判断本次攻击活动的幕后黑手为Kimsuky。
此前Kimsuky组织使用的C&C地址所对应的IP地址与此次木马使用的IP地址相同,同为216[.]189.149.78。
总结
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括威胁情报平台(TIP)、天眼高级威胁检测系统、NGSOC、奇安信态势感知等,都已经支持对此APT攻击团伙攻击活动的精准检测。
IOCs
MD5
946f787c129bf469298aa881fb0843f4
e33a34fa0e0696f6eae4feba11873f56
URL
movie.youtoboo.kro[.]kr
IP
216[.]189.149.78:80
如有侵权请联系:admin#unsafe.sh