查看原文
其他

APT-C-55(Kimsuky)组织假借“生日祝福”为诱饵分发Quasar RAT的攻击活动分析

高级威胁研究院 360威胁情报中心 2023-08-08

APT-C-55  KimsukyAPT-C-55(Kimsuky)组织又名(Mystery Baby, Baby Coin, Smoke Screen, BabyShark, Cobra Venom)等,最早由Kaspersky在2013年披露,该组织长期针对于韩国的智囊团、政府外交、新闻组织、教育学术等机构进行攻击,在过去几年里,他们将攻击目标扩大到包括美国、俄罗斯和欧洲在内的国家,主要目的为窃取敏感信息等。360高级威胁研究院最近监测到APT-C-55组织采用带有“生日祝福”诱饵信息的CHM类型文件实施攻击活动,并成功投递Quasar RAT,以获取用户的敏感信息。Quasar RAT是一个开源的远程访问木马(RAT),使用.NET编写,主要针对Windows操作系统。具有强大的远程控制功能,包括远程桌面访问、文件和系统管理、键盘记录、密码恢复和远程Shell命令等。其高度的隐蔽性和强大的功能使其成为攻击者的常用工具。保护措施包括保持系统和应用的更新、安装强大的安全解决方案,以及对网络流量进行监控。

 一、攻击活动分析   

根据攻击文件中的韩语特征,我们的分析表明,此次攻击的目标主要是针对韩国。

1.攻击流程分析  

我们最初捕获到的样本是一种CHM类型的文件。一旦用户执行该文件,恶意命令将被用来加载远程的VBS脚本。接着,该VBS脚本将负责加载远程的PowerShell脚本。该PowerShell脚本经过quicklz算法压缩,需要进行解压缩后方能继续执行。解压缩后,通过Loader将QuasarRat加载到CasPol.exe进程空间中,并最终执行QuasarRat以获取用户信息。 

图 1 攻击流程图

2.恶意载荷分析   

在我们的发现中,攻击者使用了伪装成“生日祝福”信息的CHM文件作为初始载荷。当此CHM文件被受害者执行时,其内部的恶意脚本便会被加载运行。

图 2 诱饵信息示例

恶意脚本将以Base64编码的PowerShell脚本嵌入到一个VBS文件中,然后通过执行CHM文件中的代码来加载这个VBS文件。而此VBS文件的主要任务是从远程C2服务器获取并下载下一阶段的载荷。

图 3 代码执行

下载的载荷是名为runrunlastrun.vbs的脚本。该脚本首先在C:\ProgramData\目录下创建一个名为WindowsAppCertification的文件夹。然后该脚本从系统目录C:\Windows\SysWOW64\复制powershell.exe和wscript.exe两个文件到新创建的WindowsAppCertification文件夹内。接着创建三个文件:winappversion.ini, runps.vbs, 和 conf.ps1,这三个文件都位于WindowsAppCertification文件夹内。winappversion.ini文件包含用于创建计划任务的VBScript,该计划任务每两小时执行一次,并运行runps.vbs文件。runps.vbs文件包含一行命令,该命令通过PowerShell执行conf.ps1文件。conf.ps1文件包含一个简单的PowerShell命令,用于从指定的URL(https[:]//drive.google.com/uc?export=download&id=1wKzc_xz_qdqDWnIrCl3KmMpXFFKaEsG8&confirm=t)下载载荷并执行。最后,该脚本使用wscript.exe执行winappversion.ini文件,这将启动上述的计划任务。这个任务每两小时就会启动PowerShell,并从指定的URL下载并执行载荷。

图 4 runrunlastrun.vbs相关代码

下载的载荷是名为runlastrun.ps1的PowerShell脚本。该脚本首先发送一个GET请求到预定义的URL(https[:]//drive.google.com/uc?export=download&id=1GUfzCH1FsSSQZ_Xf8HwOLgqhsygBTnK9&confirm=t),并将响应内容保存为字节数组。随后,脚本调用quicklz算法,对获取的字节进行解压缩。解压缩的数据是一个.NET Loader程序,并被加载到内存中。然后,脚本遍历这个程序中的所有类型,寻找名为program的类型。如果找到这个类型,脚本将继续查找该类型中名为Main的方法。如果找到这个方法,脚本将创建program类型的一个实例,并调用其Main方法。

图 5 runlastrun.ps1相关代码

在进行深入分析后,我们发现解压后的可执行文件其内部名称为"ProcessHollowingCsharp",其PDB路径是“O:\work\VirusAttack\ProcessHollowingCsharp\ProcessHollowingCsharp\obj\x86\Release\ProcessHollowingCsharp.pdb”。主要操作是从内置资源中提取信息,并对这些信息进行RC4解密。值得注意的是,这个经过解密的负载实际上是Quasar RAT的V1.3.0.0版本。进一步的研究发现,该可执行文件将解密后的Quasar RAT注入到了系统路径"C:\Windows\Microsoft.NET\Framework\v4.0.30319\CasPol.exe"的进程中,进一步加深了其潜伏和持久化的能力。如下图所示,我们已经从Quasar RAT中成功提取了相应的配置信息。

图 6 ProcessHollowingCsharp的main代码

图 7 Quasar RAT配置信息

 二、归属研判  

在2022年的公开威胁情报中,曾详细揭示了Kimsuky组织利用QuasarRAT进行攻击以窃取用户信息[1]。进入2023年,新的公开威胁情报再次揭露了Kimsuky组织通过使用恶意文档投递QuasarRAT恶意软件进行的攻击活动[2]。这次的攻击活动所使用的一系列恶意软件或脚本与我们捕获的攻击活动中所使用的恶意脚本及QuasarRAT key有着基本的一致性。基于这些一致性,我们可以确定这两次攻击活动都是由同一攻击组织发起的。

在此次攻击中,攻击者使用了具有诱惑性的CHM文件来针对韩国目标进行攻击。进一步分析发现,提取的HTML恶意代码的格式与Kimsuky组织最近的攻击活动中使用的恶意代码格式基本一致[3]

综上所述,基于此次攻击活动的TTP、OSINT以及以往Kimsuky组织TTP,我们以中等信心将此次攻击活动归属为Kimsuky组织。

 三、防范排查建议  

在此次攻击中,攻击者采用了诱人的信息作为诱饵来发动攻击,这种攻击方式相当常见。因此,我们强烈建议用户在执行任何未知文件之前,务必确认其来源并谨慎对待。以下是防范排查建议。

  • 更新和维护安全软件:确保您的操作系统、防病毒软件和其他安全工具处于最新状态。及时更新安全补丁和签名文件,以便及时识别和阻止恶意文件的攻击。
  • 培训员工意识:进行网络安全意识培训,教育员工识别和避免点击或打开来历不明、可疑或未经验证的文件,特别是CHM文件。提醒他们谨慎对待电子邮件附件和下载的文件,尤其是来自未知或可疑来源的文件。
  • 强化安全策略:实施多层次的安全策略,包括防火墙、入侵检测和防御系统、反病毒软件和反恶意软件工具等。这些措施有助于识别和阻止恶意文件的攻击。
  • 文件过滤和审计:使用文件过滤和审计工具,限制对可执行文件和危险文件类型(如CHM)的访问权限。审查和监控文件传输和下载活动,及时检测和阻止潜在的恶意文件。
  • 强化网络安全:配置和强化网络安全设备,如入侵检测系统(IDS)和入侵防御系统(IPS),以检测和阻止恶意文件的传输和执行。
  • 限制管理员权限:限制用户的管理员权限,以减少恶意文件对系统的潜在危害。使用最低权限原则,确保用户只能访问他们所需的资源和功能。
  • 实施安全更新和备份策略:定期备份重要数据,并确保备份存储在离线和安全的地方。定期更新和维护系统和应用程序,以修补安全漏洞,并及时应用补丁。
  • 监控和响应:实施实时监控和安全事件响应机制,以及入侵检测和安全信息和事件管理系统。及时检测、分析和响应任何与恶意文件相关的安全事件。


附录 IOC

C63336057F756C711C594E8B59B0265F

29652A5599AAB8088D8BFD453471FEFD

9E2D09F47CC48DD3E84205376A8F9ECB

81424820BDF139B1FE3DE3FAA4E98AE6

2DA5816578795BE004AD5D4190276A7F

CE161ED698C71AD9BEBB737F301B2B89

86A2CF6525C30C9D39CD6A4B0F67670B

8e35c04988a1ff196a12624139918f94

F667BF120D5760845FCDD2F02254EFF4

A9106A7C36418B9E4A19D0C7CC654E46

C26E3C33D2F3A5A13282EEE6E764BD79

9D8C438B710B314B2DC2E003B2F177B7

https[:]//drive.google.com/uc?export=download&id=1Ovbe1se3Rh9WH1LYT1ob1ngpdtjJW1yF&confirm=t

https[:]//drive.google.com/uc?export=download&id=1wKzc_xz_qdqDWnIrCl3KmMpXFFKaEsG8&confirm=t

https[:]//drive.google.com/uc?export=download&id=1GUfzCH1FsSSQZ_Xf8HwOLgqhsygBTnK9&confirm=t

https[:]//drive.google.com/uc?export=download&id=1fJt46ezrFwAKDAM-Mn64_ped54hvjIaO&confirm=t

         

参考链接

[1] https://asec.ahnlab.com/en/31089/

[2] https://blog.alyac.co.kr/5103
[3] https://blog.alyac.co.kr/5102






360高级威胁研究院

360高级威胁研究院是360数字安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存