团伙背景

Konni最开始是Cisco Talos团队于2017年披露的一类远控木马,活动时间可追溯到2014年,攻击目标涉及俄罗斯、韩国地区。2018年,Palo Alto发现该类恶意软件与APT37(别名Reaper、Group123、Scarcruft)有关的木马NOKKI存在一些关联。2019年起,韩国安全厂商ESTsecurity将Konni单独作为疑似具有东亚背景的APT组织进行报告和披露,并发现该组织与Kimsuky有一定联系。

事件概述

近期奇安信威胁情报中心发现一些针对韩国地区的恶意LNK文件,LNK文件运行后释放诱饵文件和VBS脚本,其中一个样本使用的诱饵HWP文档为关于如何进行电子邮件安全检查的指导手册。

根据LNK文件的大小和执行代码的特征,一开始我们认为样本来自APT37,但在进一步分析释放的VBS脚本后续行为和C2通信特点后,发现恶意样本与Konni组织关联更加紧密,这也表明Konni组织近期开始调整LNK类文件的攻击手法。此外值得一提的是,Konni,APT37和Kimsuky这三个被认为存在联系的APT组织,在使用的LNK类文件上也具有一些相似的特点。

详细分析

样本一

样本基本信息如下。

MD5

41c17b6b527540d49db81976ef5576e9

文件名

tl6VewKBBU.lnk

文件大小

24.35 MB (25532825 字节)

样本执行流程如下,从LNK文件释放的VBS脚本从C&C服务器获取后续并执行。

LNK调用cmd.exe,从名为K的字符串中选择字符并拼接出” powershell -windowstyle hidden”

执行的powershell代码整理后如下所示,从LNK中释放诱饵文档和VBS,并删除LNK文件自身。

诱饵文档名为”[붙임]-상용메일 보안점검 방법(네이버-다음-G메일).hwp”,意为“[附件] - 如何检查商业电子邮件安全(Naver-Daum-Gmail)”。释放VBS脚本的路径为” C:\\\\Users\\\\Public\\\\Libraries\\\\vc98ee3f0.vbs”。

VBS脚本通过逐字节异或恢复隐藏的字符串。

脚本的主要功能为通过GET请求从C&C服务器获取后续并执行。

请求的URL为hxxps://shaira1885.com/wp-admin/includes/class-wp-release-data.php?class=。域名shaira1885[.]com对应网站很可能是被攻击者攻陷然后用来托管C&C服务端。

请求的后续载荷也是VBS脚本,用同样的方式对关键字符串进行隐藏处理。

第一次请求C&C URL获取的后续脚本用于建立持久化,执行如下命令,使得vc98ee3f0.vbs可以重复运行,进而不断从C&C服务器下载后续载荷并执行。

schtasks /create /sc minute /mo 10 /tn  "WeChatVersionAutoUpdate" /tr  "C:\\\\Users\\\\Public\\\\Libraries\\\\vc98ee3f0.vbs" /f

vc98ee3f0.vbs第二次运行时从C&C URL获取的后续脚本负责收集信息的工作,执行的命令如下。

dir C:\\\\\\\\Users\\\\\\\\\\\\downloads\\\\\\\\ /s /a /od  > usrdown

dir C:\\\\\\\\Users\\\\\\\\\\\\\\\\documents\\\\\\\\ /s /a  /od > usrdocu

dir C:\\\\\\\\Users\\\\\\\\\\\\\\\\desktop\\\\\\\\ /s /a /od  > usrdesk

dir "C:\\\\\\\\Program Files\\\\\\\\" > program

dir "C:\\\\\\\\Program Files (x86)\\\\\\\\" >  program32

nslookup myip.opendns.com resolver1.opendns.com  > ipdetail

tasklist > tsklist

systeminfo > systemI

schinfos /query /fo csv > schinfo

reg query  "HKCU\\\\\\\\SOFTWARE\\\\\\\\Microsoft\\\\\\\\Windows\\\\\\\\CurrentVersion\\\\\\\\Run" /s >  reInfo

收集的信息包括:用户下载目录、文档目录、桌面的文件信息;Program Files和Program Files (x86)目录的文件信息;公网IP信息;进程列表信息;系统信息;注册表Run键值信息。

然后借助POST请求将保存上述信息的文件数据回传给C&C服务器。回传URL为hxxps://shaira1885.com/wp-admin/includes/class-wp-release-data.php。POST请求携带的数据格式如下,数据回传后将对应的文件删除。

alias=&name=<文件名>&data=<文件数据>

样本二

样本基本信息如下

MD5

015ba89bce15c66baebc5fd94d03d19e

文件名

2000215005_20231107_20231127_rvim.html.lnk

文件大小

41.26 MB (43260547 字节)

该样本使用手法与样本一相似,LNK文件通过cmd.exe执行的命令如下。

释放的诱饵文件为HTML文件,打开后向hxxp://ebpp.airport.kr/mail.do发送请求。

提示输入密码才能查看文档。

VBS脚本请求的C&C URL为hxxps://messengerin.com/layout/images/profile.php?color_style=,同样该网站很可能是被攻陷后用作C&C服务端。

溯源关联

归属

9月上传到VT的属于Konni组织的LNK样本文件还比较小,不超过200KB。

MD5

文件名

6f5e4b45ca0d8c1128d27a15421eea38

국세청종합소득세해명자료제출안내.hwp.lnk

d2ed41719424bb024535afa1b2d17f3a

국세청종합소득세해명자료제출안내.hwp.lnk

以样本d2ed41719424bb024535afa1b2d17f3a为例,执行流程如下图。LNK释放的ZIP压缩包包含多个文件,图中只列出其中的主要文件。

执行信息收集工作的脚本75330987.bat内容如下,本次发现的样本与其有如下几点相似之处:用类似的cmd命令收集信息;先将信息保存在文件中再回传;保存信息的文件名称相似。

将收集信息回传给C&C的脚本16169400.bat内容如下,文件名和文件数据作为POST请求的数据,回传后将相应文件删除,这些特点与本次发现的样本也相同。

此外,在与C&C通信的URL中带上感染设备的主机名,也是Konni组织的常用手法。

基于上述几点,我们认为此次发现的LNK样本更可能来自Konni。这些样本说明Konni组织借用了APT37经常使用的构造LNK文件的方法,对LNK文件体积进行膨胀处理,并且只释放诱饵文档和单个脚本文件。另一方面,这也表明Konni组织开始调整在LNK样本中使用的攻击手法,尽量减少恶意代码的落地。

与其他组织的联系

其他疑似具有东亚背景的APT组织,如APT37和Kimsuky如今也经常在攻击活动中使用LNK样本,并且LNK带有的powershell代码核心功能都是从自身提取诱饵文件和后续脚本的数据。不过这些攻击组织会采用不同的代码混淆方式,脚本代码的特点以及与C&C通信的格式也有些不同。

APT37

APT37的不少LNK样本没对其中的powershell代码进行混淆处理,释放的脚本代码用于下载云服务上托管的Rokrat木马 [1]或加载Chinotto后门 [2]

Kimsuky

Kimsuky对LNK样本中powershell代码采用的混淆方式比较多样。比如在代码中添加不影响命令执行的字符,以绕过对关键字符串的静态检测(MD5: 433a2a49a84545f23a038f3584f28b4a)。

或者用格式化字符串的方式恢复出关键字符串(MD5: fb5aec165279015f17b29f9f2c730976)[3]

Kimsuky释放的脚本最终向C&C发起请求,并执行获取的响应数据,这一点与此次发现的Konni样本有相似之处。

另外,Kimsuky和Konni的LNK样本均出现过以0x77为单字节异或的key,解密LNK中的文件数据。下图分别为Kimsuky样本(MD5: 433a2a49a84545f23a038f3584f28b4a)和Konni样本(MD5: d2ed41719424bb024535afa1b2d17f3a)带有的powershell代码。

总结

LNK文件目前已经成为多个APT组织投递恶意软件的常用手段,主要是因为它能以假乱真地模仿出各类诱饵文件,非常适合网络钓鱼。本次发现的Konni样本不再像以往攻击活动中投递多个脚本文件,仅以单一脚本文件执行攻击者下发的代码,攻击者可以通过收集的感染主机信息决定是否展开进一步行动,并且使用的C&C服务端很可能托管在攻陷网站上,反映出该攻击团伙在提升行动隐蔽性上所做的努力。此外,从LNK样本的特点可以看出该组织与APT37和Kimsuky的潜在联系,彼此之间存在借用攻击手法的可能。

防护建议

奇安信威胁情报中心提醒广大用户,谨防钓鱼攻击,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行标题夸张的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。

若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。

目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。

IOC

MD5

41c17b6b527540d49db81976ef5576e9

015ba89bce15c66baebc5fd94d03d19e

6f5e4b45ca0d8c1128d27a15421eea38

d2ed41719424bb024535afa1b2d17f3a

6452b948928f2d799fd9b5d7aa721d10

C&C

ttzcloud.com

bgfile.com

serviceset.net

downwarding.com

cldservice.net

file.drives001.com

URL

hxxps://shaira1885.com/wp-admin/includes/class-wp-release-data.php?class=

hxxps://messengerin.com/layout/images/profile.php?color_style=

hxxp://ttzcloud.com/list.php?f=.txt

hxxp://ttzcloud.com/upload.php

hxxps://bgfile.com/v2/read/get.php?vw=ln3&nv=xu6502&r=

hxxp://serviceset.net/list.php?f=.txt

hxxp://serviceset.net/upload.php

hxxps://downwarding.com/v2/read/get.php?vw=ln3&nv=xu6502&r=

hxxp://cldservice.net/list.php?f=.txt

hxxp://cldservice.net/upload.php

hxxps://file.drives001.com/read/get.php?ra=ln3&zw=xu6502&r=

参考链接

[1].https://ti.qianxin.com/blog/articles/Cloud-Spy-Analysis-of-Recent-Attack-Activities-by-Group123-CN/

[2].https://paper.seebug.org/3030/

[3].https://asec.ahnlab.com/en/59042/

声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。