假面之下:Konni组织冒充政府软件安装包攻击剖析
Konni是一个活跃于朝鲜半岛的APT组织,其主要针对俄罗斯、韩国以及周边国家地区的政府机构进行网络攻击活动,以窃取敏感信息为主。该组织的攻击活动最早可追溯到2014年,近年来活动频繁,被数个国内外安全团队持续追踪和披露。
近期,360高级威胁研究院发现该组织使用MSI载荷进行攻击,这类载荷在Konni之前攻击中很少使用,未被公开披露过。鉴于此,本文主要对此类伪装成政府安装包的样本进行分析,以便用户及时发现,避免中招。在本轮攻击中,Konni组织使用具有诱导性的文件名,如SpravkiBKsetup.msi,在运行MSI程序会释放正确的软件安装程序以迷惑用户,其恶意行为在后台静默执行,从而导致受害者中招,达到窃密目的。
一、恶意载荷分析
通过对Konni组织的持续追踪,我们捕获了多个Konni组织借助安装包进行投毒的恶意样本,下表是最近捕获的一个样本。
MD5 | b896c2b2ae51f7100a342c73f5062896 |
文件大小 | 4.22 MB (4422144字节) |
文件类型 | MSI |
捕获时间 | 2024-01-11 |
该安装包伪装成一款俄罗斯外交部使用的数据统计软件,根据统计可打印和生成关于所执行领事行动的年度报告,点击安装如下所示。
安装完成后,其软件正常程序、使用说明及恶意程序等都会释放到目录C:\Program Files (x86)\ConsulSoft\StatRKZU\下,该软件的使用说明如下所示。
另外该软件运行后需要用户点击进行UAC权限提升,由于正常软件安装也常常需要用户授权,故受害者往往在不知不觉中为恶意代码提供了便利。成功安装后,释放的恶意程序已经在后台具有高权限静默执行,首先执行install.vbs,该程序对install.cab解压,并根据系统位数重命名dll,然后执行其中的wiasvc.bat。
wiasvc.bat的功能是将本目录的wiasvc.dll和wiasvc.ini拷贝到系统目录system32下,并在本目录删除。然后创建名为“wiasvc”的服务,描述信息为“Windows Image Acquisition Service”,执行程序为wiasvc.dll,最后启动服务,以此实现驻留。
其wiasvc.dll(md5:ae2cc3f595b08d1aa27cb059bd166636)功能经过分析,发现本次载荷与我们之前关于该组织的分析报告(https://mp.weixin.qq.com/s/RHbsCLzahLP0zGgC3N5pPQ)里的组件相似,流程如下。
执行时先对配置文件wiasvc.ini进行解密,其中wiasvc.ini的前16个字节为IV(“6810D356CF0D0C7FC4452CAAD4CBC864”),其余内容是加密之后的C2服务器地址,Key为服务名的Hash256值,使用AES-CTR解密得到C2服务器地址如下所示:
接着将获取的基本信息上传到“http://victory-2024.mywebcommunity.org /up.php?name={HostName}”,等待服务器响应执行相关指令,指令信息如下,相关功能可参见之前的分析。
此外,相比之前版本,本次增加了对文件格式为“.7z”、 “.docx”、“.xlsx”的文件直接加密上传,否则使用makecab进行打包后再加密上传。这或许是因为docx和xlsx类型文件本质为压缩包类,无需再进行压缩。
二、关联分析
在2023年10月份,我们当时就捕获过Konni组织使用的这类MSI载荷,介于两者样本类似,这里一并进行分析说明。
MD5 | 78b3290a93de62116e083eb7c9b93b22 0018e7e7613bd92b9dc23b9d4db59fa8 |
文件类型 | MSI |
文件名 | SpravkiBKsetup_ver._2.5.msi |
捕获时间 | 2023-10-10 |
Spravki BK是俄罗斯联邦政府推出的一款用于填写收入、支出、财产及财产相关义务证明的专用软件,可以从官网下载,通过对本次捕获的安装包和从官网下载的安装包进行比较,发现增加了部分恶意文件,如下所示(左为恶意安装包,右为官方安装包)。
默认安装目录为“C:\Program Files (x86)\СправкиБК\”, 下图为运行界面。
安装程序会执行释放的wapsvc.bat文件,该脚本和上面分析的类似,执行时创建名为“wapsvc”的服务,描述信息为“Wireless Application Protocol Service”,执行程序为wapsvc.dll,其具体功能不再叙述。
Konni组织在本轮攻击中伪装成MSI安装程序下发恶意组件,由于会释放正常的安装程序,这会导致很多安全意识不高的用户不容易察觉。此外,攻击者加密内置了多个C2,并且在上传信息时会判断C2是否连接成功,这有助于用户在某个C2曝光后,能快速转换到新的C2。该类攻击武器在Konni以往攻击中并不多见,近期才开始逐步投递使用,这也可以看出该组织在更新和迭代其武器库方面保持着一定的频率。后续我们也将持续关注该组织的最新攻击活动。
在这里提醒用户加强安全意识,切勿执行未知样本或点击来历不明的链接等操作。这些行为可能导致系统在没有任何防范的情况下被攻陷,从而导致机密文件和重要情报的泄漏。
360高级威胁研究院