普道永华发布《朝鲜的网络间谍组织“ Kimsuky”分析报告》

多年来,我们一直在追踪间谍威胁演员,我们称之为Black Banshee(在开源中也称为Kimsuky)。在2019年,它发起了多个并行的网络间谍活动,从大规模凭证收集到针对性很窄的间谍活动和渗透活动。 这项活动的基础始于2018年8月,当时我们观察到Black Banshee设立了大量模拟政府,学术界和政策部门组织的域名。这构成了多次鱼叉式钓鱼和凭据收集活动的基础。 在跟踪Black Banshee时,我们已经确定了威胁参与者的工具,技术和程序(TTP)的许多高度特征性元素。在本次回顾的两个部分中,我们将探讨Black Banshee的2019年活动,我们将:
  • 检查Black Banshee的基础结构和操作方式的重叠,这些重叠使我们能够比迄今为止在开放源代码中更详细地将其多个业务环节连接起来;
  • 连接其2019年的活动,链接到可追溯至2018年末的活动; 和,
  • 强调其如何实现某些战略目标。

Tradecraft:最常用的域名和命名约定

基础结构连接:IP地址

首先,让我们深入了解Black Banshee的举止,以建立其基础架构。在整个2019年,可以通过使用的IP地址将不同的Black Banshee广告系列整合在一起。例如,在很多情况下,Black Banshee恶意软件的命令和控制域都解析为以下范围内的IP地址-185.224.137 [。] 0/23和185.224.138 [。] 0/23 地址185.224.137 [。] 164(至少一个)自2018年12月起至2020年1月一直用于为至少24个恶意Black Banshee域提供服务,包括(但不限于):
  • user-daum-centre [。] pe [。] hu(从2019-04-15到2019-05-21);
  • rrnaver [。] com(从2019-08-21到2020-01-01); 和,
  • nortice-centre [。] esy [.es](从2020-01-02到2020-01-28)。
它还在2019年6月至2019年11月之间托管了域kakao-check [.esy [。] es,该域用作命令和控制(C2),用于一个名为MyDogs的新恶意软件家族的样本–一种被认为是RAT是Black Banshee特有的,并且是AhnLab首次在开源中进行报告,作为其对“红色盐行动”的分析的一部分。1个
图1. 185.224.137 [。] 164是IP的一个示例,该IP在2019年至2020年期间托管了多个Black Banshee域(与不同的活动相关)。此处显示了其中一些域。
图1. 185.224.137 [。] 164是IP的一个示例,该IP在2019年至2020年期间托管了多个Black Banshee域(与不同的活动相关)。此处显示了其中一些域。

基础架构连接:域

在黑女妖(Black Banshee)使用的领域中,有几个在其竞选活动中频频脱颖而出。
  • pe [。] hu-Kabar Cobra行动,Kitty网络钓鱼行动和WildCommand行动使用了该域的许多子域;Financial Security Institute VirusBulletin报告中列出了其他子域,该报告详细说明了归因于Black Banshee的众多业务的交易手段;2
  • hol [。] es-该域的子域用于WildCommand群集和Operation MoneyHolic。顺便提一句,MoneyMoHolic行动涉及的某些恶意软件是MyDogs恶意软件的样本,该软件也用于Red Salt行动;
  • esy [。] es-esy [。] es上的子域进一步加强了WildCommand集群与Operation MoneyHolic之间的基础架构设置之间的联系,并且与Red Salt行动中用于MyDogs恶意软件的基础架构重叠;和,
  • 890m [。] com-890m [。] com上的子域与WildCommand集群以及使用与Black Banshee 3有联系的KONNI 和其他Black Banshee活动有关。
虽然这些域可供任何人使用,并且并非所有子域都是恶意的,但Black Banshee在不同操作中多次使用了这些域上的子域。其他韩国的北威胁的演员,尤其是APT37 /收割机,还利用了一些相同的域名(如HOL [。] ES 4,890米[。] COM 5)在整个2019。
图2.概述了2019年不同的Black Banshee活动之间的某些联系。
图2.概述了2019年不同的Black Banshee活动之间的某些联系。

基础架构连接:命名

即使子域的父域不相同,我们的分析师也注意到在对手注册的基础架构中有一种命名方式。我们看到Black Banshee沿以下三个主要域进行域名命名:
  1. 高度针对特定的组织或机构进行命名或作为目标(通常用于凭据网络钓鱼);
  2. 关键字指的是专门在韩国使用的软件,通常与更通用,与办公室或企业相关的主题结合使用;和,
  3. 似乎是通用名称,包括模拟电子邮件服务的通用名称,或具有相似或递增编号的域。
Black Banshee在设置命令和控制服务器端文件夹方面也保持了一致:
  • “ / Est / up”和“ / Est / down”是“操作Kabar Cobra”,“ Operation Kitty网络钓鱼”和“ Operation WildCommand”文件夹中的服务器端路径,用于暂存受感染机器上传或下载的文件。我们观察到一个类似的服务器端路径(http:// nortice-centre [。] esy [。] es / down /)被Black Banshee Windows脚本文件下载程序的新示例首次引用,该文件于2019年12月31日首次看到;这很可能表明威胁参与者正在维护一致的基础架构管理和命名方法。
  • 服务器操作路径“ / bbs / data / temp”在Kabar Cobra操作和Kitty网络钓鱼操作中均被观察到。
  • 它的父路径“ / bbs / data”是在“红色盐行动”的背景下观察到的,其中与恶意软件相关的子文件夹之一随后被ESTSecurity绑定到KONNI。此外,在APT37 / Reaper命令和控制服务器上也观察到相同的路径。6
  • 最后,C / 2上存在与“红盐行动”相关的MyDogs恶意软件的“ / bbs / filter”。

综上所述

在跟踪位于朝鲜的威胁演员Black Banshee(也称为Kimsuky)时,我们观察到该威胁演员表现出一系列基础设施设置习惯。这些措施包括使用特定IP范围来设置参与者控制的命令和控制域,用于此类域的命名约定以及Black Banshee在其C2上一致重用的服务器端文件夹名称。 这种习惯和TTP有效地使我们能够通过直接链接和命令与控制基础结构的相似性来连接多个战役。 但这还不是全部。在整个2019年将Black Banshee的多个业务联系在一起后,我们观察到出现了明显的“集群”活动-通过基础设施链接,相似的行业,共享指标和相匹配的目标将各种活动和业务组合在一起。 在即将发布的博客中,我们将详细介绍在这些集群中找到的活动之间的联系,并就其在TTP和目标方面的一致性提供战略性见解。

集群活动

通过调查Black Banshee的2019年活动以及在不同活动中出现的基础设施模式并将它们联系起来,我们确定了许多活动“集群”。基于我们自己的数据集以及来自其他机构的出色开源研究确定的这类活动和运营集群,通过基础架构链接,类似的行业手段,共享的指标和匹配的目标进行捆绑。 下面的图1显示了在2018年11月至2020年2月之间几个运动的活动-按这些集群分组:
  • WildCommand集群;
  • BabyShark集群;和,
  • 凭据收集群集。
图1. Black Banshee在整个2019年进行的活动的高级概述。
图1. Black Banshee在整个2019年进行的活动的高级概述。 图片中的虚线标记了普华永道分析师没有观察到与某项活动有关的大量活动,但此类活动可能正在准备中或仍在进行的时期。

野生群

WildCommand集群包括在AhnLab的Operation Kabar Cobra中首先公开详细介绍的活动。ThreatRecon的Operation Kitty网络钓鱼中暴露了该活动的继续。在整个2019年4月和5月持续进行的活动期间,我们跟踪了该活动。所有这些活动都针对韩国政府部门,以及在韩国开展业务的航空航天和国防承包商以及加密货币组织。根据我们的分析,我们评估了这些操作实际上是同一总体活动的一部分,因为这些操作在基础架构上存在广泛的重叠,并且在部署的工具,技术和过程(TTP)中具有对应关系–包括当时的新恶意软件家族,远程访问我们称为WildCommand的Trojan(RAT)。
图2.演变:Kabar Cobra,Kitty Phishing,WildCommand以及Missiles and Money行动是Black Banshee付出更多努力后的快照。
图2.演变:Kabar Cobra,Kitty Phishing,WildCommand以及Missiles and Money行动是Black Banshee付出更多努力后的快照。
我们发现,将WildCommand集群与针对加密货币组织的活动绑定了更多基础架构链接,该活动从2018年持续到至少2019年5月,EST Security将其归类为“ Operation MoneyHolic ”。  我们还看到了WildCommand集群与另一组活动之间的多个基础结构连接,该活动于2019年5月前后进行,利用了DLL RAT系列(我们称为MyDogs)。据报道,MyDogs(一种使用FTP的RAT来接收命令和提取文件)在AhnLab的一项针对“韩国红盐行动 ” 的活动中被使用,该活动主要针对韩国实体。尽管AhnLab称为“红色盐行动”的活动在2019年7月左右活跃,但我们观察到至少从2019年5月开始进行此活动的准备工作-大约在我们还注意到与WildCommand行动有关的活动暂时停止的时候。最近,我们观察到了新的WildCommand活动。WildCommand活动的这次返回使用了与先前活动类似的TTP,并使用了后门的略微更新版本,并在2020年2月13日左右编制了样本;从到目前为止我们已经观察到的情况来看,该活动针对的是东南亚的金融部门实体。

BabyShark集群

普华永道在Black Banshee的2019年活动中确定的第二个集群围绕着至少从2018年底开始活跃的一项活动,帕洛阿尔托的Unit42称为“ BabyShark ”,而EST Security则称为“ Operation SmokeScreen ”。这项运动始终针对美国,韩国和欧洲国家的政策和国家安全智囊团以及政府实体。它还针对加密货币领域的组织。 我们注意到,这与Prevailion的“秋季光圈”报告之间存在基础结构重叠和指标共享,包括在两个活动中使用的多个诱饵文档中都存在类似的恶意软件和相同的作者姓名“ windosmb”。这些证据使我们评估了“秋季光圈”运动很可能构成了“婴儿鲨”运动的延续。
图3.普华永道关于BabyShark活动的报告,Operation SmokeScreen操作,Prevailion的Autumn Aperture活动报告与ANSSI关于Black Banshee的凭据网络钓鱼活动咨询之间的重叠示例。
图3.普华永道关于BabyShark活动的报告,Operation SmokeScreen操作,Prevailion 的Autumn Aperture活动报告与ANSSI关于Black Banshee的凭据网络钓鱼活动咨询之间的重叠示例。
图4. 2018年11月至2019年12月期间BabyShark活动的连续性。
图4. 2018年11月至2019年12月期间BabyShark活动的连续性。
BabyShark的活动通常依赖于受损的基础架构,而不是对手注册的域。但是,BabyShark活动中服务器端文件夹的命名保持一致。直到当前,BabyShark恶意软件的特征仍然是BabyShark恶意软件的特征,如“ / customize / 1111”之类的文件夹,诸如“ cow.php”,“ expres.php”之类的服务器端文件以及诸如“ op =”之类的恶意软件参数。 普华永道(PwC)分析师通常在Black Banshee C2基础架构上观察到此类服务器端脚本。在针对韩国政府的一项活动中也观察到了这些相同的服务器端脚本,该活动被EST Security 称为“ Operation Stealth Power ”。尽管“隐形力量行动”与BabyShark的活动没有直接联系,但是使用相同的脚本可以有效地将基于相同基础结构管理TTP的不同Black Banshee活动联系在一起。

广泛传播:长期,大规模的凭证获取活动

另外,Prevailion注意到一些共享的指标和基础设施,将`` 秋季光圈''运动与活动联系在一起,该活动在美国国家情报系统情报局(ANSSI)的一份报告中进行了讨论,并且在2019年8月下旬的Anomali 报告中也涉及到。多个基础架构连接(示例如上图4所示)以及针对BabyShark活动,Autumn Aperture和ANSSI报告之间的相似性,导致我们评估这些活动集可能是同一“集群”的一部分。这是一项主要工作,主要针对外国政府以及国家安全,政策和教育领域的机构,我们发现在2018年8月至12月之间建立了跨领域的多个相似之处。

结论

WildCommand和BabyShark活动集群-以及至少从2018年以来普华永道,ANSSI和Anomali一直在跟踪的凭证收集活动-主要针对韩国和美国的实体和组织。这些广告系列的操作着重于以下目标:
  • 政府(特别是外国政府,政府部门和外交使团);
  • 国家安全(特别是在国家安全政策,国防和与朝鲜有关的事务方面);
  • 航空航天与国防
  • 国际关系和制裁;
  • 与核有关的政策;和,
  • 学术界和研究(尤其是在核空间)。
在这个由两部分组成的系列文章中,我们展示了-在普华永道的智慧和知名度以及开源研究的范围内-Black Banshee在2019年进行的大多数活动实际上是相互联系的,涉及以下方面:
  • 基础设施重叠在一起,跨越多个战役,背叛了威胁参与者的整体作案手法;和,
  • 总体任务目标,表明黑女妖的目标始终如一。
我们已经看到Black Banshee引入了新的工具(例如WildCommand和MyDogs RAT和BabyShark恶意软件),并评估了威胁参与者有可能在即将到来的战役中继续更新其工具集。但是,正如我们在2019年全年所看到的那样,Black Banshee继续依靠一系列久经考验的机制,其战役中涌现出与众不同的商业手段。进入2020年,我们还没有观察到这种活动减少或变得不那么激进,我们也没有看到它如此-实际上,我们期望黑女妖会继续增加行动,特别是在当前国际紧张局势加剧的情况下。
0 0 vote
Article Rating

未经允许不得转载:x-sec » 普道永华发布《朝鲜的网络间谍组织“ Kimsuky”分析报告》

赞 (1) 打赏
Subscribe
Notify of
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x