【安全资讯】Kimsuky武器库更新:利用新冠疫情为诱饵针对韩国地区的攻击活动分析

匿名用户 2021-10-12 06:52:39 679人浏览

引言

Kimsuky组织是疑似具有东亚国家背景的APT组织,该团伙长期针对韩国政府、新闻机构等目标发起攻击活动,通常使用社会工程学、鱼叉邮件、水坑攻击等手段投递恶意软件,拥有功能完善的恶意代码武器库。近日,研究人员捕获了疑似Kimsuky组织利用新冠疫情相关信息为诱饵,针对韩国地区的攻击样本,诱饵目标为韩国某地方土地管理局,诱饵内容为该地区针对COVID-19疫情的处理流程和发热统计表格。

 

简况

原始样本释放的hwp文档诱饵如下:

样本是一个伪装为PDF文档的PIF可执行文件,是一个Loader,作用为释放诱饵和载荷。通过解密加密的字符串进行API函数地址获取。首先会遍历列表匹配Library的名字,然后解密传入的API加密字符串和Library字符串。然后通过LoarLibrary和GetProcAddress获取函数。具体的解密函数采用python3实现,如下图:

写入的文件如下图所示:

参数1:iDmzQtvReUSCdTn

启动载荷的参数为“iDmzQtvReUSCdTn”。该参数为装载器启动默认参数,主要功能包括复制自身,注册开机启动注册表,启动拷贝后的程序并传入参数2“zWbTLWgKymXMDwZ”。将自身拷贝到当前文件夹中的system32文件夹中,并更名为smss.exe。然后再次运行拷贝后的程序,传入参数2,结束自身。

 

参数2:zWbTLWgKymXMDwZ

校验参数,参数如果为zWbTLWgKymXMDwZ的话,隐藏错误显示框。并再次判断参数个数,当使用参数2的时候且参数个数大于等于3,则会触发特定文件删除功能。写入大量空白数据,进行随机更名后然后删除文件。字符串解密,密钥为0x9F,8字节为一组。拼接字符串后,像发送函数传入参数进行网络连接测试。能正常接收信息后,进入功能分发处。RAT功能分发函数,疑似使用Base64解码和AES解密。uid后面接磁盘序列号,sep接特定字符,data获取到的数据。C2命令如下表格所示:

C2命令

功能

3

修改当前目录

4

修改文件日期

5

结束特定进程

6

获取进程权限

7

删除文件

8

创建新线程,破坏文件后删除

9

执行命令

10

注册DLL

11

加载插件

12

读取文件

13

写入文件

14

获取系统时间

15

获取系统时间

16

删除开机启动注册表

17

获取主机名,计算机名,适配器信息

18

获取上次获取全局信息时间

19

获取%temp%目录

20

读取PMS*文件信息(Unicode)

21

读取PMS*文件信息

归因

研究人员通过对此次捕获样本所带的恶意代码、释放的木马文件进行分析后,判断本次攻击活动的幕后黑手为Kimsuky。此前Kimsuky组织使用的C&C地址所对应的IP地址与此次木马使用的IP地址相同,同为216[.]189.149.78。

失陷指标(IOC)4
APT Kimsuky 韩国 公用事业
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。