疑似Group123(APT37)针对中韩外贸人士的攻击活动分析
2019-10-29 11:30:28 Author: www.4hou.com(查看原文) 阅读量:159 收藏

导语:腾讯安全御见威胁情报中心在2019年8月底到9月中旬,检测到一批针对疑似中韩贸易等相关人士的钓鱼攻击活动。经过分析溯源发现,疑似是Group123攻击组织的最新攻击活动。

一、 事件概述

腾讯安全御见威胁情报中心在2019年8月底到9月中旬,检测到一批针对疑似中韩贸易等相关人士的钓鱼攻击活动。经过分析溯源发现,疑似是Group123攻击组织的最新攻击活动。

Group123,又被称为APT37,疑似来自朝鲜的攻击组织,该组织经常攻击国内的外贸公司、在华外企高管,甚至政府部门。该组织最常使用鱼叉钓鱼邮件进行定向攻击,使用Nday或者0day漏洞进行木马捆绑和伪装。

二、 技术细节分析

1、 初始攻击

本次攻击活动虽然未获取到相关攻击邮件,但是从相关日志来进行分析,可以确定是一次邮件钓鱼攻击,使用的诱饵名字包括제안서.rar、BN-190820.rar、list of delivery.rar等。

 2、 恶意文件植入

本次投递的诱饵为一个rar的压缩文件,解压后为一个伪装成word图标和名字的可执行文件:

image.png

该可执行文件实际为一个下载器,该下载器的技术分析如下:

1) 具有延时执行功能:

image.png

image.png

2) 下载恶意模块,下载http://artmuseums.or.kr/swfupload/fla/1.jpg文件到%temp%\winsxz:

image.png

image.png

3) 解密文件,简单异或解密,密钥如下:

42 32 33 37 38 33 35 31 36 41 36 34 39 44 36 37
42 32 44 38 31 43 41 46 45 41 31 42 41 33 39 33

4) 设置注册表 实现开机启动木马: 

image.png

image.png

3、 RAT分析

下载回来的jpg文件经过解密后,为真正的RAT,文件路径为:C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\svchost.exe

该文件加了vmp壳:

image.png

执行后创建名为HD_March的互斥量,防止重复运行:

image.png

与downloader使用同样的方法延时运行:

image.png

通过执行命令收集计算机信息,值得注意的是收集主机文档文件信息的时候含有.hwp文件信息的收集,该文件是韩国主流办公文件生成的文档文件,具有明显的地域特征:

image.png

image.png

RAT的功能已控制码如下:

image.png

image.png

image.png

image.png

image.png

4、 下发文件分析

此外,svchost还下发了一个文件C:\\Users\\Administrator\\AppData\\Local\\Temp\\mscmgr

该文件执行后,首先读取同目录下的aconfig.ini文件,从中获取C2信息:

image.png

释放{rand}.exe文件,MD5为:6f29df571ac82cfc99912fdcca3c7b4c,初步分析该文件为winrar命令行版压缩文件:

image.png

打包指定目录下的指定扩展名文件:

image.png

扫描全盘文件,打包指定扩展名的文件:

image.png

打包的文件均上传到C2上:

image.png

image.png

有意思的是,通信中存在下面的字符串,具体意义不明:

image.png

image.png

三、 关联分析

1、 攻击背景

由于诱饵诱饵文件中存在的韩文,而且收集的文件中包含有韩国主流办公文件生成的文档文件hwp,此外从受控机的背景可以发现为从事一些商贸的人士,且机器中出现过包含朝鲜语的文件,因此我们猜测攻击的对象为疑似跟韩国相关的贸易人士。

此外,从攻击的C2来看,都跟韩国相关,如:artmuseums.or.kr,腾讯安图检索结果如下:

image.png

而该站点为韩国博物馆的网站,因此我们猜测攻击者先攻击了该网站,然后以改站做为C2,以此来躲避查杀:

image.png

2、 基础设施关联

1) 某RAT的C2:casaabadia.es,我们关联到相关文件:

image.png

相关文件为:gallery.jpg (3cc51847c2b7b20138ad041300d7d722)

image.png

通过该文件分析,我们关联到某文章:

https://www.fortinet.com/blog/threat-research/evasive-malware-campaign-abuses-free-cloud-service-targets-korean-speakers.html

image.png

虽然该文件并未明确支持组织名,但是从相关iocs的杀软家族来看为ScarCruft ,即为Group123:

image.png

2) 某些受控机在下载附件前会访问某url:www.chateau-eu.fr,具体原因不明。通过腾讯安图检索www.chateau-eu.fr如下:

image.png

而根据www.chateau-eu.fr进行反查,同样关联到另一篇文章:

image.png

该文章提到的信息跟这次攻击活动都非常相似:

如文件名svchost,但是样本无法下载,因此无法实锤;

基础设施域名重合;

url都都存在wp-content。

而该文章中提到的组织正好为Group123。

3、 TTPs

从攻击手法上来看,该活动的攻击TTPs、攻击对象、攻击者背景跟Darkhotel和Group123类似。但是由于攻击对象主要为韩国,以及通过RAT下发收集文件的插件的方式,跟Group123都极为相似,因此我们猜测大概率为Group123。

4、 结论

综上,我们对该次攻击定性为攻击组织Group123的新的攻击活动。

四、 总结

Group123是针对中国大陆攻击活动非常频繁的一个攻击组织,该组织有使用0day进行攻击的能力,因此攻击战斗力不容小觑。虽然目前发现的一些受控机都为跟外贸相关的单位和人士,但是相关的政府部门也不能掉以轻心。

五、 安全建议

我们建议参考以下几点加强防御:

1. 通过官方渠道或者正规的软件分发渠道下载相关软件;

2. 谨慎连接公用的WiFi网络。若必须连接公用WiFi网络,建议不要进行可能泄露机密信息或隐私信息的操作,如收发邮件、IM通信、银行转账等;最好不要在连接公用WiFi时进行常用软件的升级操作;

3. 不要打开不明来源的邮件附件;

4. 及时打系统补丁和重要软件的补丁。

六、 附录

1、 IOCs

hxxp://artmuseums.or.kr/swfupload/fla/1.jpg

hxxp://fjtlephare.fr/wp-content/uploads/2018/05/null/

hxxp://casaabadia.es/ wp-content/uploads/2018/06/null/

e26c81c569f6407404a726d48aa4d886  svchost.exe(RAT)

ce4614fcf12ef25bcfc47cf68e3d008d      list of delivery.doc.exe

94fd9ed97f1bc418a528380b1d0a59c3  BN-190820.doc.exe(RAT)

b23a707a8e34d86d5c4902760990e6b1     plugin

6f29df571ac82cfc99912fdcca3c7b4c      winrar

51da0042fe2466747e6e6bc7ff6012b2        2019-08-08.doc.exe

2、 参考文章

1) https://www.fortinet.com/blog/threat-research/evasive-malware-campaign-abuses-free-cloud-service-targets-korean-speakers.html

2) https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/07170728/Guerrero-Saade-Raiu-VB2017.pdf


文章来源: https://www.4hou.com/web/21225.html
如有侵权请联系:admin#unsafe.sh