- 检查Black Banshee的基础结构和操作方式的重叠,这些重叠使我们能够比迄今为止在开放源代码中更详细地将其多个业务环节连接起来;
- 连接其2019年的活动,链接到可追溯至2018年末的活动; 和,
- 强调其如何实现某些战略目标。
Tradecraft:最常用的域名和命名约定
基础结构连接:IP地址
首先,让我们深入了解Black Banshee的举止,以建立其基础架构。在整个2019年,可以通过使用的IP地址将不同的Black Banshee广告系列整合在一起。例如,在很多情况下,Black Banshee恶意软件的命令和控制域都解析为以下范围内的IP地址-185.224.137 [。] 0/23和185.224.138 [。] 0/23 地址185.224.137 [。] 164(至少一个)自2018年12月起至2020年1月一直用于为至少24个恶意Black Banshee域提供服务,包括(但不限于):- user-daum-centre [。] pe [。] hu(从2019-04-15到2019-05-21);
- rrnaver [。] com(从2019-08-21到2020-01-01); 和,
- nortice-centre [。] esy [.es](从2020-01-02到2020-01-28)。
![普道永华发布《朝鲜的网络间谍组织“ Kimsuky”分析报告》插图 图1. 185.224.137 [。] 164是IP的一个示例,该IP在2019年至2020年期间托管了多个Black Banshee域(与不同的活动相关)。此处显示了其中一些域。](https://www.x-sec.info/wp-content/uploads/2020/03/tracking-kimsuky-north-korea-part-1-ip-central.png)
基础架构连接:域
在黑女妖(Black Banshee)使用的领域中,有几个在其竞选活动中频频脱颖而出。- pe [。] hu-Kabar Cobra行动,Kitty网络钓鱼行动和WildCommand行动使用了该域的许多子域;Financial Security Institute VirusBulletin报告中列出了其他子域,该报告详细说明了归因于Black Banshee的众多业务的交易手段;2
- hol [。] es-该域的子域用于WildCommand群集和Operation MoneyHolic。顺便提一句,MoneyMoHolic行动涉及的某些恶意软件是MyDogs恶意软件的样本,该软件也用于Red Salt行动;
- esy [。] es-esy [。] es上的子域进一步加强了WildCommand集群与Operation MoneyHolic之间的基础架构设置之间的联系,并且与Red Salt行动中用于MyDogs恶意软件的基础架构重叠;和,
- 890m [。] com-890m [。] com上的子域与WildCommand集群以及使用与Black Banshee 3有联系的KONNI 和其他Black Banshee活动有关。

基础架构连接:命名
即使子域的父域不相同,我们的分析师也注意到在对手注册的基础架构中有一种命名方式。我们看到Black Banshee沿以下三个主要域进行域名命名:- 高度针对特定的组织或机构进行命名或作为目标(通常用于凭据网络钓鱼);
- 关键字指的是专门在韩国使用的软件,通常与更通用,与办公室或企业相关的主题结合使用;和,
- 似乎是通用名称,包括模拟电子邮件服务的通用名称,或具有相似或递增编号的域。
- “ / Est / up”和“ / Est / down”是“操作Kabar Cobra”,“ Operation Kitty网络钓鱼”和“ Operation WildCommand”文件夹中的服务器端路径,用于暂存受感染机器上传或下载的文件。我们观察到一个类似的服务器端路径(http:// nortice-centre [。] esy [。] es / down /)被Black Banshee Windows脚本文件下载程序的新示例首次引用,该文件于2019年12月31日首次看到;这很可能表明威胁参与者正在维护一致的基础架构管理和命名方法。
- 服务器操作路径“ / bbs / data / temp”在Kabar Cobra操作和Kitty网络钓鱼操作中均被观察到。
- 它的父路径“ / bbs / data”是在“红色盐行动”的背景下观察到的,其中与恶意软件相关的子文件夹之一随后被ESTSecurity绑定到KONNI。此外,在APT37 / Reaper命令和控制服务器上也观察到相同的路径。6
- 最后,C / 2上存在与“红盐行动”相关的MyDogs恶意软件的“ / bbs / filter”。
综上所述
在跟踪位于朝鲜的威胁演员Black Banshee(也称为Kimsuky)时,我们观察到该威胁演员表现出一系列基础设施设置习惯。这些措施包括使用特定IP范围来设置参与者控制的命令和控制域,用于此类域的命名约定以及Black Banshee在其C2上一致重用的服务器端文件夹名称。 这种习惯和TTP有效地使我们能够通过直接链接和命令与控制基础结构的相似性来连接多个战役。 但这还不是全部。在整个2019年将Black Banshee的多个业务联系在一起后,我们观察到出现了明显的“集群”活动-通过基础设施链接,相似的行业,共享指标和相匹配的目标将各种活动和业务组合在一起。 在即将发布的博客中,我们将详细介绍在这些集群中找到的活动之间的联系,并就其在TTP和目标方面的一致性提供战略性见解。集群活动
通过调查Black Banshee的2019年活动以及在不同活动中出现的基础设施模式并将它们联系起来,我们确定了许多活动“集群”。基于我们自己的数据集以及来自其他机构的出色开源研究确定的这类活动和运营集群,通过基础架构链接,类似的行业手段,共享的指标和匹配的目标进行捆绑。 下面的图1显示了在2018年11月至2020年2月之间几个运动的活动-按这些集群分组:- WildCommand集群;
- BabyShark集群;和,
- 凭据收集群集。

图1. Black Banshee在整个2019年进行的活动的高级概述。 图片中的虚线标记了普华永道分析师没有观察到与某项活动有关的大量活动,但此类活动可能正在准备中或仍在进行的时期。
野生群
WildCommand集群包括在AhnLab的Operation Kabar Cobra中首先公开详细介绍的活动。ThreatRecon的Operation Kitty网络钓鱼中暴露了该活动的继续。在整个2019年4月和5月持续进行的活动期间,我们跟踪了该活动。所有这些活动都针对韩国政府部门,以及在韩国开展业务的航空航天和国防承包商以及加密货币组织。根据我们的分析,我们评估了这些操作实际上是同一总体活动的一部分,因为这些操作在基础架构上存在广泛的重叠,并且在部署的工具,技术和过程(TTP)中具有对应关系–包括当时的新恶意软件家族,远程访问我们称为WildCommand的Trojan(RAT)。
图2.演变:Kabar Cobra,Kitty Phishing,WildCommand以及Missiles and Money行动是Black Banshee付出更多努力后的快照。
我们发现,将WildCommand集群与针对加密货币组织的活动绑定了更多基础架构链接,该活动从2018年持续到至少2019年5月,EST Security将其归类为“ Operation MoneyHolic ”。 我们还看到了WildCommand集群与另一组活动之间的多个基础结构连接,该活动于2019年5月前后进行,利用了DLL RAT系列(我们称为MyDogs)。据报道,MyDogs(一种使用FTP的RAT来接收命令和提取文件)在AhnLab的一项针对“韩国红盐行动 ” 的活动中被使用,该活动主要针对韩国实体。尽管AhnLab称为“红色盐行动”的活动在2019年7月左右活跃,但我们观察到至少从2019年5月开始进行此活动的准备工作-大约在我们还注意到与WildCommand行动有关的活动暂时停止的时候。最近,我们观察到了新的WildCommand活动。WildCommand活动的这次返回使用了与先前活动类似的TTP,并使用了后门的略微更新版本,并在2020年2月13日左右编制了样本;从到目前为止我们已经观察到的情况来看,该活动针对的是东南亚的金融部门实体。
BabyShark集群
普华永道在Black Banshee的2019年活动中确定的第二个集群围绕着至少从2018年底开始活跃的一项活动,帕洛阿尔托的Unit42称为“ BabyShark ”,而EST Security则称为“ Operation SmokeScreen ”。这项运动始终针对美国,韩国和欧洲国家的政策和国家安全智囊团以及政府实体。它还针对加密货币领域的组织。 我们注意到,这与Prevailion的“秋季光圈”报告之间存在基础结构重叠和指标共享,包括在两个活动中使用的多个诱饵文档中都存在类似的恶意软件和相同的作者姓名“ windosmb”。这些证据使我们评估了“秋季光圈”运动很可能构成了“婴儿鲨”运动的延续。
图3.普华永道关于BabyShark活动的报告,Operation SmokeScreen操作,Prevailion 的Autumn Aperture活动报告与ANSSI关于Black Banshee的凭据网络钓鱼活动咨询之间的重叠示例。

图4. 2018年11月至2019年12月期间BabyShark活动的连续性。
BabyShark的活动通常依赖于受损的基础架构,而不是对手注册的域。但是,BabyShark活动中服务器端文件夹的命名保持一致。直到当前,BabyShark恶意软件的特征仍然是BabyShark恶意软件的特征,如“ / customize / 1111”之类的文件夹,诸如“ cow.php”,“ expres.php”之类的服务器端文件以及诸如“ op =”之类的恶意软件参数。 普华永道(PwC)分析师通常在Black Banshee C2基础架构上观察到此类服务器端脚本。在针对韩国政府的一项活动中也观察到了这些相同的服务器端脚本,该活动被EST Security 称为“ Operation Stealth Power ”。尽管“隐形力量行动”与BabyShark的活动没有直接联系,但是使用相同的脚本可以有效地将基于相同基础结构管理TTP的不同Black Banshee活动联系在一起。
广泛传播:长期,大规模的凭证获取活动
另外,Prevailion注意到一些共享的指标和基础设施,将`` 秋季光圈''运动与活动联系在一起,该活动在美国国家情报系统情报局(ANSSI)的一份报告中进行了讨论,并且在2019年8月下旬的Anomali 报告中也涉及到。多个基础架构连接(示例如上图4所示)以及针对BabyShark活动,Autumn Aperture和ANSSI报告之间的相似性,导致我们评估这些活动集可能是同一“集群”的一部分。这是一项主要工作,主要针对外国政府以及国家安全,政策和教育领域的机构,我们发现在2018年8月至12月之间建立了跨领域的多个相似之处。结论
WildCommand和BabyShark活动集群-以及至少从2018年以来普华永道,ANSSI和Anomali一直在跟踪的凭证收集活动-主要针对韩国和美国的实体和组织。这些广告系列的操作着重于以下目标:- 政府(特别是外国政府,政府部门和外交使团);
- 国家安全(特别是在国家安全政策,国防和与朝鲜有关的事务方面);
- 航空航天与国防
- 国际关系和制裁;
- 与核有关的政策;和,
- 学术界和研究(尤其是在核空间)。
- 基础设施重叠在一起,跨越多个战役,背叛了威胁参与者的整体作案手法;和,
- 总体任务目标,表明黑女妖的目标始终如一。
未经允许不得转载:x-sec » 普道永华发布《朝鲜的网络间谍组织“ Kimsuky”分析报告》