朝鲜叛逃的证据吸引了“对Geumseong121的攻击”的“间谍云”攻击

“  间谍 云行动” APT攻击背景 你好 East Security ESRC(安全响应中心)。 2020年3月上旬,名为“ Geumseong121”的全国性APT(智能可持续威胁)组织捕获了一种新的攻击情况。 他们以韩国的网络空间为主要基地 开展各种间谍活动,并加剧了主要针对外国工人,统一工人和安全工人,与朝鲜有关的组织负责人和朝鲜难民的威胁。 ESRC 基于各种指标和 通过包括平板电脑(ALYac)在内的多通道威胁情报传感器收集的证据来分析这种入侵攻击。 正如去年11月发布的报告,针对移动APT攻击 “ 对'Dragon Messenger'的攻击  ” ,由朝鲜叛逃者赞助的 “ Geumseong 121”,他们正尝试从基于PC的智能手机到Android智能手机的各种网络威胁。 特别是在“ Operation Dragon Messenger”情况下,它不仅可以入侵到一个未指定的网站并将其用作命令控制(C2)服务器。这是一个已经演变成场景的阶段。 此外,通过Google Play的官方应用程序市场或YouTube进行的基于信任的胆大妄为的区别,在其他威胁组织中很少见。 同时,这次APT攻击建立了一种高度先进的“鱼叉式网络钓鱼”策略,该策略通过诱饵装饰和伪装成北朝鲜叛逃者的证据,刺激并欺骗了电子邮件收件人的心理。 ESRC是攻击者 对这个网络jakjeonmyeong“我们设想的谷歌驱动的云服务,一个占据优势,避免了APT攻击行动间谍 云(操作谍 云)已被任命为“ 英文版   间谍间谍Cloud_eng.pdf APT攻击媒介:鱼叉式网络钓鱼的策略和过程 从事间谍云操作的攻击者正在利用基于电子邮件的鱼叉式网络钓鱼攻击。这是由于直接和隐形攻击的优势。 这是在下载的文件中附加恶意MS Word DOC文档文件的一种形式,该欺骗方法是通过向电子邮件添加恶意链接来欺骗收件人单击的。 同时,威胁小组使用针对韩国的HWP,DOC和XLS文档类型的恶意软件作为攻击策略。
[图1]间谍 云APT攻击的总流量 如果您发送电子邮件中附加的恶意文件,则可能会通过安全服务预先阻止或检测到该文件。这就是使用URL链接策略的原因,该策略允许您仅接收文件而不是直接附加文件。 这 允许根据攻击者的意图随时修改或删除链接的文件,从而最大程度地减少回避或跟踪。 ESRC已经确定了所使用的某些攻击,但是攻击者已经删除了文件,并且在 实际分析时,链接无法正常工作。 由于分离和分析了用于攻击的恶意DOC Word文件,因此将shellcode与混淆的恶意VBA宏结合在一起。 当Shellcode工作时,它将连接到设置为命令控制(C2)服务器的Google云端硬盘,执行EXE恶意模块,并尝试将计算机信息泄漏给PickCloud。 间谍云主要威胁工具的深入分析 当执行了恶意的DOC文档文件时, 就会出现一个伪造的屏幕,好像没有按如下所示显示某个图像区域,“此图像不会自动从Internet下载以保护个人信息。” 显示短语。 间谍云攻击者使用 激励 策略将伪装的叛逃文档的图像内容伪装成个人信息保护,以便用户单击[使用内容]按钮。
[图2]伪装成朝鲜难民证据文件的恶意文件执行屏幕 DOC文档中包含以下VBA宏功能,并且在执行[使用内容]按钮时激活了恶意功能。 首先,使用“ CreateMutex”函数将互斥锁声明为“ m_mtn”,以防止重复执行。
Option Explicit

Private Declare PtrSafe Function CreateMutex Lib "kernel32" Alias "CreateMutexA" (ByVal lpMutexAttributes As Long, ByVal bInitialOwner As Long, ByVal lpName As String) As Long

Private m_mt As Long

Private Sub ghjkjhgyujx()

m_mt = CreateMutex(0, 1, "m_mtn")

Dim er As Long: er = Err.LastDllError

If er <> 0 Then

Application.DisplayAlerts = False

Application.Quit

Else

End If

End Sub
生产者通过其字符串列表中的Mid函数检查特定海外安全程序的文件名, 如果不存在,则解码例程继续。因此,根据情况,它可以用作一种杀死开关角色。
-c:\ windows \ avp.exe

-c:\ windows \ kavsvc.exe

-c:\ windows \ clisve.exe
sen_str = pQFqnD5h 2WOGfbmNyi * IKP7JX9A)dcLelj(kETogHs。#wxBU + 13rv&6VtC,uYz = Z0RS8aM4
[图3]检查特定安全程序的功能 并注册注册表项以更改宏安全性设置,如下所示: 将HKEY_CURRENT_USER \ Software \ Microsoft \ Office \(版本)\ Word \ Security \ AccessVBOM值更改为“ 1”,以允许在开发人员宏设置中安全地访问VBA项目对象模型。 同样,通过声明一个特定的编码字符串,它将解码 宏函数底部列出的混淆的shellcode。
[图4]注册表项注册和shellcode解码字符串声明
str_on = abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890&*(),.
 str_en = 7JX9A)dwxBU + 13rv&tC,uYz = Z0RS8aM4FqnD5h 2WpQOGfbmNKPcLelj(kogHs。yi * IET6V
由72个字节组成的字符串被替换为在每个位置对称并重新排列的字符串,在以下宏功能部分中,shellcode是关键区域之一。
[图5]编码的shellcode区域屏幕 通过分析shellcode,您可以看到尝试连接到特定Google云端硬盘的命令。Google云端硬盘用作一种命令控制(C2)服务器。在这种情况下,安全检测系统有可能将其判断为正常连接。
[图6]使用shellcode命令访问Google Drive C2 Google云端硬盘的“ invoice.sca”文件伪装成发票文件。 基于注册信息的最后修改时间是2020年3月10日下午,并且使用XOR方法对文件进行加密。共享文件的所有者正在使用“ godlemessy@gamil.com” Gmail帐户。 Gmail已对实际威胁使用的地址进行了分析,它是在类似威胁情况下经常看到的电子邮件地址。
[图7]在Google云端硬盘中注册的攻击者信息和有效负载屏幕 “ invoice.sca”文件为0xbf 0x7a 0x79 0x51 4字节,由XOR逻辑进行迭代解码,并且在此过程之后,将显示其中包含的恶意模块。
 档案名称  时间戳记(UTC)  MD5
 invoice.sca(解码)  2020-03-02 23:32:17  392647675E8DFCD2602B4FFE38A19E2B
[图8]有效负载解码比较屏幕 解码后的恶意代码使用pCloud访问令牌数据与云服务器通信,收集各种系统信息,尝试进行窃取,并可能根据攻击者的意图安装其他后门。 该间谍模块的 主要功能与现有“ Venus 121”小组使用的工具没有太大区别。
[图9]用于pCloud通信的访问令牌屏幕 如果您根据API搜索注册了云的攻击者的 帐户,则可以检查包含帐户历史记录的json文件,以及攻击者 在什么时候加入了服务和所使用的电子邮件地址。 “已注册”:“星期三,2019年4月10日06:40:53 +0000”, “电子邮件”:“ kpsa-press@daum.net”, 可以看出,攻击者已经在2019年4月10日预先注册了云,并且可以在注册时使用'kpsa-press@daum.net'韩国Kakao Hanmail。
[图10]用于云服务注册的json文件信息 ESRC  在2019年4月报道的 `` Goldstar 121组织,伪装统一部的APT攻击并将恶意软件传播到Google Drive ''的报告中发布了  类似于电子邮件地址``kpsa-press@daum.net''的表格。 当时找到的'kpsapress@gmail.com'电子邮件地址与Google Gmail 的电子邮件地址不同,并非Kakao Hanmail。 而 对于Gmail的恢复电子邮件“KPS 可能会发现,被设置为·······@d···.net的地址,类似于“kpsa-press@daum.net”帐户,你可以看到这一点。
[图11]用于Google Gmail恢复的电子邮件分析 但是,“间谍云”和TTP(战术,技术和过程)完全相同,并且最终有效载荷也 相同。 这证实了“Geumseong 121”小组正在使用与各种网络运营相同的策略和技术。 “间谍云”与“Geumseong 121” 相似性对比分析(按案例) 首先,ESRC 于2020 年3月13日提供了“ Operation Printing Paper 3 ”威胁情报报告,作为内部服务的威胁, 深入数据和详细的侵权指标确认这是与此次“行动间谍云” APT攻击相同的团体行为(IoC) 包括的材料。
[图12]同一APT组的最新威胁情报报告的封面 ESRC 全面分析了间谍云运行中使用的各种攻击痕迹,并 明确确认“Geumseong 121”组织进行的其他网络运营活动和威胁指标之间存在密切联系。  互联网云服务订阅信息(包括攻击者使用的各种电子邮件帐户)也完全相同,并且某些信息正在 更改或撤销。 特别是,在DOC恶意文档中找到的Google Gmail帐户已被回收,因为它们被用于HWP恶意文档中,并且用于漏洞攻击的几种HWP后脚本技术也重叠了。 此外,已确认不仅使用了基于Windows的恶意文件,而且还使用了基于Android的智能手机攻击
[图13]  每个Venus 121攻击案例的比较分析  比较hwp恶意文档文件中 使用的每个Post Script ,您可以看到通常使用相同的技术。 变量声明等方面的相似性非常高,并且使用了一些相同的后脚本。当然,在一些变型中, 引入 了新技术来逃避安全解决方案的检测。
[图14]恶意hwp文档中使用的后记技术的比较 即使比较激活hwp文档中的漏洞后生成的最终有效负载二进制文件的功能,也可以看到它包含相同的命令。 普通的云服务如Dropbox的,pCloud信息目的收购的指挥与控制(C2)服务器的滥用。
[图15]安装为hwp文档文件的最终二进制函数比较屏幕 正如我们到目前为止所看到的,“Geumseong 121”组织继续对朝鲜进行各种威胁活动。 ESRC确认,通过分析 他们使用的各种黑客工具和策略,将政府级别的网络侦查工作作为日常 工作进行。 安全威胁和整个社会的进步,以及一天越来越细化,复杂的情况下。 政府级别的网络运营正在成为国家网络安全问题,因此迫切需要基于威胁情报的响应和合作。 ESRC 通过“ 内部威胁 ”服务进一步组织各种威胁案件和“Geumseong 121”组织的侵权指标(IoC)信息,从而提供了详细的系统。
0 0 vote
Article Rating

未经允许不得转载:x-sec » 朝鲜叛逃的证据吸引了“对Geumseong121的攻击”的“间谍云”攻击

赞 (0) 打赏

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x