【高级持续威胁追踪】将目光对准高校——ScarCruft组织的新活动
背景
ScarCruft,又名Group123、InkySquid、Operation Daybreak、Operation Erebus、Reaper Group、Red Eyes、APT37、Venus 121,是一个来自半岛地区的APT组织,最早自2012年以来一直参与从事各种网络间谍活动。主要针对韩国及亚洲相关国家的包括化学、电子、制造、航空航天、汽车和医疗保健等多个行业,并且在今年发现针对高校的攻击事件。其主要以情报窃取为主,会收集大量文档类相关的文件,如doc,ppt,xls,pdf,hwp等。2022年左右ScarCruft开始尝试使用超大LNK文件传播RokRAT,RokRAT是一个以云存储作为命令与控制的远程访问工具。
近期,深信服蓝军高级威胁(APT)团队在日常的威胁猎捕工作中观察到一起利用超大LNK文件传播RokRAT的攻击活动,虽然没有捕获到初始访问向量,但经过关联分析以及结合公开情报信息,我们认为初始访问入口点为钓鱼邮件。诱饵文件名为”Korea National Intelligence Society 2023 Summer Academic Conference and 5th National Strategy Colloquium (Final) - Korea's national security and intelligence in a period of great transition.zip(韩国国家情报学会2023年夏季学术会议暨第五届国家战略研讨会(决赛)——大转型时期的韩国国家安全与情报)“。文件内包含一个超大的LNK文件,图标伪装成PDF,执行后会从微软的onedrive服务中下载加密载荷并解密,解密后执行一段shellcode并解密出RokRAT,后续使用pcloud,yandex和dropbox的云存储服务进行远程控制等操作。
攻击链
样本分析
名称 | Korea National Intelligence Society 2023 Summer Academic Conference and 5th~.zip |
文件大小 | 53.6 MB (56,262,014 bytes) |
文件类型 | zip Archive (.zip) |
编译时间 | / |
VT首次上传时间 | / |
md5 | 2cafced7bd983a213938f906b185ffff |
Sha256 | ccffb9358fe57c15eaf07a984866fac113e8592db2d65586da2ccb61c720730c |
ZIP文档内包含一个被大量垃圾数据填充的LNK文件。
使用0x19和0x20填充的垃圾数据。
LNK文件执行后会从自身提取出PDF文件和120923.bat,并打开PDF,执行120923.bat
打开的PDF文件为韩国国家信息学会2023年夏季会议相关的介绍文档。
翻译如下:
韩国国家信息学会2023年夏季会议
暨第五届国家战略研讨会
转型时期的韩国国家安全与情报
日期:2023年6月29日(星期四)14:00~17:20
地点:国家战略信息中心、国会图书馆(首尔永登浦区)
120923.bat会从onedrive服务中下载加密载荷,并使用载荷的首字节作为解密key进行异或解密。
下载的载荷名为php_maual.zip
使用载荷的首字节0x55进行异或解密,解密后为一段shellcode
Shellcode继续从自身0x802的位置异或0x29解密,解密出来的是RokRAT木马,后续跳转到木马入口处执行。
RokRAT样本信息:
描述 | RokRAT样本 |
时间戳 | 2023-08-24 00:22:10 |
Sha1 | 558818F196B534EC263C6903D1599C3AF5712947 |
md5 | F676A2D123E82280BAD7529265D40FEE |
Sha256 | 615673E320AA458E64D6430648EF17E0E57D037DCC2C554ED926032DC916BC1C |
对于RokRAT木马友商已经做了非常详尽的分析,本次捕获到的样本与历史样本差异不大,仅仅是一些字符串上的差异以及云存储平台的访问秘钥的更新,对于样本的分析此次不再赘述。
友商样本:
本次捕获到的样本:
归因
根据以往的威胁情报信息,本次捕获到的诱饵文件使用0x19,0x20附加垃圾数据的超大LNK文件,执行的多阶段powershell指令,使用的云存储服务等攻击流程以及最后的载荷RokRAT均与历史ScarCruft的攻击活动一致,因此将此次活动归属为ScarCruft。
关联分析
通过对本次攻击事件中使用的云存储的访问秘钥成功获取到攻击者所使用的账户信息,其pcloud的账户创建时间为2023年6月15日,使用的邮箱为nanhaii815@gmail.com。对该邮箱进行情报关联时发现两封电子邮件。第一封邮件以邀请观看私人视频为由。邮件正文中有名为NKNET活动照片.zip的超链接,链接地址为(当前已无法访问):
https://api.onedrive[.]com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL3UvcyFBcW9QbnNvWUJmQnlnUTdhRkRnWmt3RlNta3FxP2U9Y2xCQW93/root/content
第二封邮件以研讨会为由,邮件标题:“亚洲新闻统一学院共同主办公开研讨会6/28首尔《最新报道:朝鲜现在正在发生什么?》”,邮件正文中有名为“https://www.asiapress.org/korean/share/朝鲜实际情况数据“”的超链接,链接地址为(当前已无法访问):https://api.onedrive[.]com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL3UvcyFBbjhkTHh6QnlILUNhdmtUSnJRNG5DcGFIMEk_ZT1xcUtoS3A/root/content
两封邮件共同的收件人seolc37@gmail.com据调查为韩国研究大学朝鲜研究所客座研究员的邮箱,这两封邮件中包含的后续行为因onedrive链接失效已无法观测。
结论
ScarCruft通常使用钓鱼邮件附加云存储服务链接放置压缩文档,后续通过压缩文档内的恶意LNK文件来完成感染,且其相关RokRAT也使用云存储服务来混入正常的网络流量中,使基于网络的检测变得更加困难。根据追踪发现,ScarCruft自从被发现以后一直保持高度的活跃,仅今年友商就已经披露多起攻击事件,其所使用的的RokRAT也一直保持着持续的更新,另外经过上述分析可以发现其所使用的邮箱通常也会针对多个不同的目标来使用,并且已经将目标转向高校领域。
随着网络空间博弈的发展与国际局势的动荡变革,APT攻防日趋复杂,APT组织所具备的高针对性,高隐匿性,高持久性的攻击活动,已经成为网络空间的突出风险源。深信服蓝军高级威胁(APT)团队专注全球高级威胁事件的跟踪与分析,拥有一套完善的自动化分析溯源系统以及外部威胁监控系统,能够快速精准的对APT组织使用的攻击样本进行自动化分析和关联,同时积累并完善了几十个APT以及网络犯罪威胁组织的详细画像,成功帮助客户应急响应处置过多起APT及网络犯罪威胁组织攻击事件,未来随着安全对抗的不断升级,威胁组织会研究和使用更多新型的TTP,深信服高级威胁团队会持续监控,并对全球发现的新型安全事件进行深入分析与研究。
IOCS
HASH | 2cafced7bd983a213938f906b185ffff |
HASH | F72302B350AF23070051EA3AC5AC42C9 |
HASH | EAA5AA78668CFE6E6194FCE6F2358CA8 |
HASH | F676A2D123E82280BAD7529265D40FEE |
HASH | 1277E7FE0D2C9FAB9EC6BA805485BD9B |
DOMAIN | https://api.onedrive[.]com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL3UvcyFBblVXZnVFWDRXc3RmWU4wLXVRNDBTODI4XzQ_ZT1iMUhoREg/root/content |
参考链接
https://asec.ahnlab.com/en/51751/
https://research.checkpoint.com/2023/chain-reaction-rokrats-missing-link/