【安全资讯】Kimsuky武器库更新:利用新冠疫情为诱饵针对韩国地区的攻击活动分析
引言
Kimsuky组织是疑似具有东亚国家背景的APT组织,该团伙长期针对韩国政府、新闻机构等目标发起攻击活动,通常使用社会工程学、鱼叉邮件、水坑攻击等手段投递恶意软件,拥有功能完善的恶意代码武器库。近日,研究人员捕获了疑似Kimsuky组织利用新冠疫情相关信息为诱饵,针对韩国地区的攻击样本,诱饵目标为韩国某地方土地管理局,诱饵内容为该地区针对COVID-19疫情的处理流程和发热统计表格。
简况
原始样本释放的hwp文档诱饵如下:
样本是一个伪装为PDF文档的PIF可执行文件,是一个Loader,作用为释放诱饵和载荷。通过解密加密的字符串进行API函数地址获取。首先会遍历列表匹配Library的名字,然后解密传入的API加密字符串和Library字符串。然后通过LoarLibrary和GetProcAddress获取函数。具体的解密函数采用python3实现,如下图:
写入的文件如下图所示:
参数1:iDmzQtvReUSCdTn
启动载荷的参数为“iDmzQtvReUSCdTn”。该参数为装载器启动默认参数,主要功能包括复制自身,注册开机启动注册表,启动拷贝后的程序并传入参数2“zWbTLWgKymXMDwZ”。将自身拷贝到当前文件夹中的system32文件夹中,并更名为smss.exe。然后再次运行拷贝后的程序,传入参数2,结束自身。
参数2:zWbTLWgKymXMDwZ
校验参数,参数如果为zWbTLWgKymXMDwZ的话,隐藏错误显示框。并再次判断参数个数,当使用参数2的时候且参数个数大于等于3,则会触发特定文件删除功能。写入大量空白数据,进行随机更名后然后删除文件。字符串解密,密钥为0x9F,8字节为一组。拼接字符串后,像发送函数传入参数进行网络连接测试。能正常接收信息后,进入功能分发处。RAT功能分发函数,疑似使用Base64解码和AES解密。uid后面接磁盘序列号,sep接特定字符,data获取到的数据。C2命令如下表格所示:
C2命令 |
功能 |
3 |
修改当前目录 |
4 |
修改文件日期 |
5 |
结束特定进程 |
6 |
获取进程权限 |
7 |
删除文件 |
8 |
创建新线程,破坏文件后删除 |
9 |
执行命令 |
10 |
注册DLL |
11 |
加载插件 |
12 |
读取文件 |
13 |
写入文件 |
14 |
获取系统时间 |
15 |
获取系统时间 |
16 |
删除开机启动注册表 |
17 |
获取主机名,计算机名,适配器信息 |
18 |
获取上次获取全局信息时间 |
19 |
获取%temp%目录 |
20 |
读取PMS*文件信息(Unicode) |
21 |
读取PMS*文件信息 |
归因
研究人员通过对此次捕获样本所带的恶意代码、释放的木马文件进行分析后,判断本次攻击活动的幕后黑手为Kimsuky。此前Kimsuky组织使用的C&C地址所对应的IP地址与此次木马使用的IP地址相同,同为216[.]189.149.78。