【安全资讯】疑似Kimsuky组织利用商业软件Web Browser Password Viewer进行攻击

匿名用户 2021-11-24 16:17:18 64人浏览

引言

Kimsuky,别名Mystery Baby、Baby Coin、Smoke Screen、Black Banshe等,是疑似具有东亚国家背景的APT组织。该团伙长期针对韩国政府、国防军工、新闻机构、教育学术等目标发起攻击。研究人员捕获疑似Kimsuky组织利用利用商业软件Web Browser Password Viewer进行测试的样本,疑似测试功能是收集用户浏览器密码信息。

 

简况

此次活动有如下特点:

  1. 此次捕获样本疑似在测试阶段,功能尚不完善。初始载荷与近期Kimsuky组织投递的hancom载荷样本有所差异。

  2. 样本利用RC4+ZLIB解密出后续载荷, 载荷后续注入到svchost.exe进程中。

  3. 第二阶段载荷利用开源商业软件Web Browser Password Viewer进行更改,疑似测试功能为收集用户浏览器密码信息。

  4. 本次捕获样本并没有进行持久化的的注册表写入操作,收集的信息,也没有相关上传操作。

攻击流程图如下: 第一阶段样本载荷主体功能集中在RUN函数中,检测49B46336-BA4D-4905-9824-D282F05F6576窗口标识实际为韩国杀软安博士v3组件,并进行窗口隐藏。第二阶段载荷利用RC4算法进行加密,解密后在调用zlib解压出载荷,解压出来的载荷后续注入到进程svchost.exe中。样本会收集用户网络信息、系统信息、进程信息、文件信息,并保存在C:\Users\用户名\AppData\Roaming\information目录下。分别命名netinfo.dat、sysinfo.dat、procinfo.dat、filelist.dat.

WebBrowserPassView是一个密码恢复工具,可以显示以下浏览器的密码:Internet Explorer (4.0 - 11.0), Mozilla Firefox (All Versions),谷歌Chrome, Safari和Opera。第二阶段载荷功能与开源商业软件Web Browser Password Viewer二进制基本相同,在地址0x447cf0、0x4462D0、0x4065E0存在差异。根据地址定位到载荷相应位置后,可以看到在目录C:\Users\用户名\AppData\Roaming\information下创建文件aaweb.txt,疑似测试功能为收集用户浏览器密码信息,并保存在aaweb.txt文件中。 样本对比表明,Kimsuky组织正在测试投递的hancom相关载荷。样本会收集用户网络信息、系统信息、进程信息、文件信息。本次捕获样本并没有进行持久化的的注册表写入操作,收集的信息,也没有相关上传操作。

总结

Kimsuky APT组织作为一个十分活动的APT组织,其针对南韩的活动次数也愈来愈多, 其不断进行自我的更新投递样本也表现出其的不成熟性。对比近期样本可以看出,该组织正在利用并篡改商业软件进行测试。后续可能会有更多相关类似情况出现。

失陷指标(IOC)2
APT Kimsuky 其他
    0条评论
    0
    0
    分享
    安恒威胁情报中心专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。