Konni组织针对虚拟货币行业投递AutoIt恶意软件
团伙背景
事件概述
文件名 | 译文 |
가상자산업감독규정_제정안 | 虚拟货币行业监管条例_提案 |
첨부1_가상자산_이용자_보호_등에_관한_법률_2단_정리 | 附件1_虚拟资产用户保护法第二条概要 |
详细分析
LNK文件
LNK文件执行powershell代码。
去混淆后代码如下,从LNK文件中提取出诱饵文档和CAB文件的数据。与Konni组织之前LNK攻击样本略有不同的是,提取文件数据时增加了单字节异或解密的步骤。
释放的诱饵文档与LNK文件同名,打开后迷惑受害者。
同时LNK文件还会暗中释放CAB文件,解压到”%PUBLIC%\documents”目录后执行其中的start.vbs脚本。CAB文件包含的内容如下。
VBS & BAT脚本
CAB文件中的VBS和BAT脚本为Konni组织常用的恶意代码组合,各脚本的作用分别如下。
脚本名称 | 说明 |
start.vbs | 启动09402649.bat |
09402649.bat | (1) 将start.vbs添加到"HKCU\Software\Microsoft\Windows\CurrentVersion\Run"实现持久化; (2) 运行95060869.bat; (3) 运行34631202.bat; (4) 运行42736915.bat |
95060869.bat | 调用36980785.bat从hxxp://settlors[.]com/get.php下载加密ZIP压缩包,解压后执行其中的1.bat文件 |
34631202.bat | 调用14886621.bat将收集的信息(包括用户downloads目录、documents目录和desktop桌面的文件信息,以及systeminfo命令收集的系统信息)回传到hxxp://settlors[.]com/upload.php |
42736915.bat | 调用36980785.bat从hxxp://settlors[.]com/list.php下载CAB文件,解压后执行其中的temprun.bat文件 |
36980785.bat | 从指定URL下载后续文件,该脚本的一个参数可以设置是否对URL参数进行加密处理 |
14886621.bat | 将感染设备上的指定文件回传给C&C服务器,对上传文件数据和文件名进行加密处理 |
14886621.bat同样以当前时间戳对应的字符串为key,对上传文件的数据和文件名进行RC4加密。如果上传操作成功则删除原文件,并留下upok.txt文件作为标记。
AutoIt恶意软件
攻击者通过hxxp://settlors[.]com/get.php继续向受害者设备投递带有AutoIt恶意脚本的ZIP压缩包。根据压缩包中的文件修改时间,恶意脚本cdp.au3很可能在2023年12月就已经投入使用。
95060869.bat在解压ZIP压缩包后,先执行其中的1.bat脚本。
1.bat首先将压缩包中的其他文件移动到”%PUBLIC%\058ed324”目录下。接着设置注册表"HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders"的"Startup"值,指向新创建的目录"%SystemDrive%\ProgramData\Startup",以绕过安全软件对默认Startup目录的检测。然后在该目录下释放update.vbs文件建立持久化。
update.vbs通过注册表"HKCU\Software\Microsoft\Internet Explorer\Main"对IE进行设置,再运行压缩包中的start.bat。而start.bat直接调用AutoIt.exe运行AutoIt脚本cdp.au3。
cdp.au3为经过编译的AutoIt脚本,文件前面添加了大量无效数据用以干扰检测。
cdp.au3脚本通过创建互斥量("Global\25DF74BF-B13F-83D4-E3BA-A3C35D1009FE")保证只有单个实例运行。然后收集各类信息,包括用户账号是否为管理员、操作系统版本、杀毒软件名称、用户名、主机名。检测的杀毒软件涉及韩国安全厂商Ahnlab和ESTsoft。
借助getserverurl函数从cdp.au3脚本同目录下的配置文件setting.ini获取C&C服务器URL,并在后面添加随机字符串组成的URL参数。
备用C&C服务器URL使用DGA生成。
在与C&C服务器的通信循环中,cdp.au3脚本向上述URL回传收集的信息,解析C&C返回的响应数据,以””和””为标记符提取出待执行的指令,然后交给processtask函数处理。
Processtask函数从指定URL下载后续载荷并执行,支持的文件类型包括二进制文件(EXE、DLL)和脚本文件(BAT、Powershell、VBS)。
cdp.au3脚本与C&C服务器的通信数据格式如下,由于服务器下发的后续指令为空,因此暂时无法进一步分析攻击者接下来的行为。
溯源关联
MD5 | 1aac6272dd9b6d05fa256a89677e90b5 |
文件名 | - |
VT上传时间 | 2024-03-05 09:55:57 UTC |
C&C URL | hxxps://nasions.com/v1/read/get.php hxxp://shakuss.com/upload.php hxxp://shakuss.com/list.php |
MD5 | 655893b1641565f8ea04da4d74116b8a |
文件名 | 첨부1_성명_개인정보수집이용동의서.docx.lnk |
VT上传时间 | 2024-03-07 06:57:59 UTC |
C&C URL | hxxps://goosess.com/read/get.php hxxp://stuckss.com/upload.php hxxp://stuckss.com/list.php |
Konni组织此次攻击活动使用的AutoIt恶意软件在韩国安全厂商Ahnlab去年12月发布的报告[2]中有提及,为AutoIt版本的Amadey恶意软件。该安全厂商将Konni组织合并为Kimsuky组织进行追踪。
总结
防护建议
若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
IOC
e9db0e7aeb35758c6512d692e938178a
ff44068ba6ed88e5391452cffb0983be
7ee77ecd79b69a082750327b5750e6e4
64fbf63d29cb7e8d813702a2beeee856 (解压密码”a0”)
1aac6272dd9b6d05fa256a89677e90b5
655893b1641565f8ea04da4d74116b8a
C&C
settlors.com
oryzanine.com
nasions.com
shakuss.com
goosess.com
stuckss.com
URL
hxxp://settlors.com/get.php
hxxp://settlors.com/upload.php
hxxp://settlors.com/list.php
hxxp://oryzanine.com/index.php
hxxps://nasions.com/v1/read/get.php
hxxp://shakuss.com/upload.php
hxxp://shakuss.com/list.php
hxxps://goosess.com/read/get.php
hxxp://stuckss.com/upload.php
hxxp://stuckss.com/list.php
参考链接
[2].https://asec.ahnlab.com/en/59590/
点击阅读原文至ALPHA 7.0
即刻助力威胁研判