Konni APT组织以朝鲜疫情物资话题为诱饵的攻击活动分析

访客4年前关于黑客接单914

概述

Konni APT 组织是朝鲜半岛地区更具代表性的 APT 组织之一,自 2014 年以来一直持续活动,据悉其背后由朝鲜 *** 提供支持,该组织经常使用鱼叉式 *** 钓鱼的攻击手法,经常使用与朝鲜相关的内容或当前社会热点事件来进行攻击活动,该组织的主要目标为韩国政治组织,以及日本、越南、俄罗斯、中国等地区。

微步情报局近期通过威胁狩猎系统监测到 Konni APT 组织最新攻击活动,经过分析有如下发现:

攻击者以“朝鲜疫情物资”话题相关文章作为诱饵文档进行攻击活动,诱饵文档延续了该组织以往的攻击手法,将正文颜色设置为难以阅读的颜色以诱导用户启用宏。

在文档携带的恶意宏中,从失陷的服务器中下载后门模块并执行。

后门模块为 Amadey 家族木马,攻击者可利用该后门模块进行下一步恶意模块的分发,该组织经常使用此家族木马进行攻击活动。

根据样本关联信息显示,本次攻击活动手法与以往安全机构披露的“隐士”、“BlueSky” 等攻击活动手法类似,另外还与具有相同背景的半岛地区 APT 组织 Kimsuky 有诸多关联之处。

微步在线通过对相关样本、IP 和域名的溯源分析,共提取 31 条相关 IOC,可用于威胁情报检测。微步在线威胁感知平台 TDP、威胁情报管理平台 TIP、威胁情报云 API、互联网安全接入 OneDNS 等均已支持对此次攻击事件和团伙的检测。

详情

本次攻击活动依然采用 Konni APT 组织最常用的攻击方式,投递的诱饵文件具有一定的诱惑性,攻击者引用 NKNews 近期发表的朝鲜 COVID-19 话题相关文章作为诱饵文档,将正文文字颜色设置为难以阅读的颜色,只有启用宏之后才能修改为容易阅读的颜色,原文链接:https://www.nknews.org/2020/10/pyongyang-stores-low-on-foreign-goods-amid-north-korean-covid-19-paranoia/。

文件名称Pyongyang stores low ?on foreign goods amid North Korean COVID-19 paranoia (1).doc
SHA2569891b3d68ffbdb4a4bd0e7e49ba7b1e6d30ffb35935357551c312af5ae3a4f1e
创建时间2020/11/27 06:28

图1. doc诱饵文档启用宏前后

图2. 样本执行流程图

样本分析

在 doc 文档携带的恶意宏中,首先将正文颜色修改为黑色以迷惑用户,之后从失陷的服务器(https://rabadaun.com/wordpress/wp-content/themes/TEMP.so)下载文件数据保存到主机 Templates 目录下 spolsve.exe 并执行。

图3. 文档中携带的恶意宏

下载的文件为木马 Loader 模块,样本信息如下:

文件名TEMP.so、spolsve.exe、tlworker.exe
文件大小290816 字节 (284.00 KB)
MD5f160c057fded2c01bfdb65bb7aa9dfcc
SHA11e14de870b1c4b09cbf81206562a254c27178d85
SHA256efc139dc0e280a374065dc59c55a45b5146f091a85a3abd6f0caf1a9a2f8b060
编译时间戳2016/12/06 11:35:32

Loader 模块执行后,先通过累加一个比较大的数值 0xBAADBEEF,来制造一个比较大的延时效果,之后将 EnumChildWindows 的回调函数进行动态解密并执行,这在一定程度上干扰了静态分析。

图4. 调用EnumChildWindows反汇编代码片段

之后找到 .pnuvq 区段数据,使用密钥“nfnljhbnntphxhxthxdpjdtdtjlppltxvrrzbbrlbvfvrnpp ”进行解密。

图5. Loader模块的PE区段表

解密后的数据为后门 PE 模块,紧接着再次创建一份自身进程,将后门模块注入执行。

图6. 后门模块PE头数据

Backdoor模块

文件大小68608 字节 (67.00 KB)
MD5f108a4d064dd05c0a097f517ec738b1a
SHA1f197a7be7fdb286bc9673a57b54994c02a7af8d6
SHA256d1baefd0bdc7f3b0369c5b7126c3b98469a518cf4db788fad1d243d8661a17b9
编译时间戳2020/11/19 17:00:55

后门模块中的字符串均以加密形式存储,使用密钥"a7963b909152f8ebc3ec69b1dee2b255a9678a5b7b827e8c75bd9b0"动态解密。

图7. 字符串解密函数反汇编代码片段

该模块执行后,首先检查常见的杀软文件是否存在,用以检查主机上存在的杀软信息。

图8. 检查主机杀软信息

再检查当前运行目录是否是 C:\ProgramData\a7963\TlWorker.exe,如果不是,则自我复制到该目录。

图9. 后门模块的自我复制

并调用 cmd 设置注册表开机启动项以在主机上建立持久化机制。

图10. 设置开机启动项

之后解密出 C2 地址。

图11. 解密C2服务器地址

将硬盘序列号、木马版本、是否为管理员、系统版本、杀软信息、主机名、用户名作为上线数据包以 HTTP 协议 POST *** 发送至 C2 服务器(http:// 186.122.150.107/cc/index.php)。

图12. 向C2服务器上传的主机信息数据包

然后接受 C2 服务器返回数据,从中取出服务器所下发的下载链接,继续下载其他恶意模块,每隔 60 秒与服务器通信 1 次。截至分析时,服务器暂未下发有效指令。

图13. 响应C2服务器远程指令

该 C2 服务器部署了 Amadey 家族木马服务端用以对目标进行控制。

图14. C2服务器上所部署的Amadey木马服务端

在上线列表中发现已经有用户被感染,根据 IP 判断包括 1 例韩国受害者,这符合该组织的攻击目标范围,攻击者可随时设置任务,下发给目标以进行下步恶意模块的分发。

图15. Amadey木马服务端所显示的感染列表

关联分析

在关联分析工作中,另外发现一个以“俄罗斯专家介绍”为主题的诱饵文档。

图16. 以“俄罗斯专家介绍”为主题的诱饵文档

在其恶意宏中同样从失陷的网站服务器下载恶意模块执行(http://fd-com.fr/wp-content/themes/consultingservices/upload/tmp.txt),虽然目前已经无法正常下载,但根据关联分析信息,发现之后的恶意流程与上面样本一致,同样使用 Amadey 木马在主机建立持久化机制,并从 C2 服务器(http://108.62.118.185/cc/index.php)获取下载链接继续下一步恶意行为。

图17. 恶意宏代码中的失陷服务器

在本次攻击活动中,攻击者依然延续了以往的攻击手法,将诱饵文档颜色设置为不可读颜 *** 导用户启用宏,从攻击手法多维度信息来看,与以往攻击活动手法基本一致,例如使用基本一致的解密算法。

图18. 一致的解密算法

同样使用 Amadey 家族木马套件。

图19. 一致的Amadey木马服务端

在微步在线追踪溯源系统中检索攻击者使用的 C2 服务器的关联信息,发现历史解析域名基本都带有一定的迷惑性,推测攻击者用来进行钓鱼攻击,这符合 Konni 以往的攻击手法。

图20. 微步在线追踪溯源系统关联信息

与 Kimsuky APT 组织的关联性

在 Kimsuky 组织最近的一起攻击活动中,其使用了“世界卫生大会”相关内容作为诱饵文档(57b59b770f313b0a09b651bfba0c95cdba482d4a41fa2e95593674dd5cd83c5b),同样将正文颜色设置为难以阅读的颜色,且攻击者编辑文档环境为朝鲜语。

图21. 以“世界卫生大会”为主题的诱饵文档

Kimsuky 组织在以往攻击活动中经常使用带有恶意宏的文档进行攻击,在恶意宏中从 C2 服务器拉取下阶段脚本代码执行,本次攻击活动依然使用同样的攻击手法,另外该组织以往还经常使用包含“.php?op={参数值}”的 URL,其中参数值代表不同阶段的行为,在此次攻击活动中就使用到以下 URL:

http://documentserver.site/dark/index.php?op=5

http://documentserver.site/dark/index.php?op=7

图22. Kimsuky组织使用的URL示例图

而通过分析 Konni 以往所使用的 Amadey 家族攻击样本,发现有攻击样本(544aaf0804060598138f2db809c31bb651dd8f4fce2e64b49f7db051fc54a764)曾使用过 C2 服务器 http://securelevel.site/pppp/index.php,经过对比,与 Kimsuky 所使用的 C2 服务器 Whois 注册信息完全一致。

注册者aoler jack
邮箱poole.sion2015@yandex.com
*** +82.12035386476


图23. Kimsuky和Konni两者相同的Whois注册信息

由此我们发现,Konni 组织与具有相同朝鲜半岛背景的 Kimsuky 组织有一定程度的资产重叠,从攻击目标与攻击手法来看也有不同程度的技术重叠,依靠现有的一些证据,可以合理地怀疑他们可能存在某种意义上的关联性,当然仅凭有限的内容来判定他们之间的关联并不容易,有必要继续跟踪观察他们之间的关系,通过大量的恶意文件样本和各种分析指标来获取更明确的答案。

结论

Konni APT 组织善于使用朝鲜相关热点话题进行攻击活动,且极具针对性,本次攻击活动中依然使用诱饵文档+Amadey 家族木马套件的攻击方式,与相同背景的半岛地区 APT 组织 Kimsuky 组织或有关联,基于该组织所在地区及目标的地缘政治敏感性,也可能会给我国带来一定程度的负面影响,微步在线情报局会对该组织攻击活动持续进行跟踪,及时发现安全威胁并快速响应处置。

附录 – IOC

C&C

186.122.150.107

108.62.118.185

yahoo-login.rnail-suport.site

login-protect.club

yahoo-login.anlysis-info.xyz

yahoo.mail-master.online

noreply-sec.online

accounts.goolg-e.com

yahoo.help-master.online

noreply-yahoo.com

noreply-cc.online

voipgoogle.com

google-acount.com

noreply-goolge.com

myethrvvallet.com

nidnaver.press

helpnaver.online

help-naver.site

nidnaver.store

helpnaver.host

helpnaver.link

helpnaver.site

documentserver.site

nicnaver.com

emailnaver.com

nidnaver.host

nidnaver.site

security-lnfo.com

lnfo-master.com

help-secure.info

security-acount.info

Compromised Domain

rabadaun.com

fd-com.fr

Hash

9891b3d68ffbdb4a4bd0e7e49ba7b1e6d30ffb35935357551c312af5ae3a4f1e

efc139dc0e280a374065dc59c55a45b5146f091a85a3abd6f0caf1a9a2f8b060

d1baefd0bdc7f3b0369c5b7126c3b98469a518cf4db788fad1d243d8661a17b9

5bd48c2f61541124920d71e674ce3fd5927702f69c2baacc5a509debe3a893c8

9aab5a536b95963c4e3c990ab40bdeb25c850e2a862ea528b81d470d6acdadb1

Email

glorify0717@gmail.com

mypretty0914@gmail.com

norelyeverland@hanmail.net

poole.sion2015@yandex.com

参考链接

https://s.threatbook.cn/report/file/efc139dc0e280a374065dc59c55a45b5146f091a85a3abd6f0caf1a9a2f8b060/?sign=history&env=win7_sp1_enx86_office2013

https://s.tencent.com/research/report/727.html

https://blog.alyac.co.kr/2308

https://blog.alyac.co.kr/3390

相关文章

赚钱网?推荐5个不错的兼职赚钱网站

赚钱网?推荐5个不错的兼职赚钱网站

做公众号这么久了,能让我喜欢的公号并不多,野生观算是一个很特别的存在,虽然以前给你推荐过很多公号,但今天这个才是我最想推荐的。 号主野生君是一个96年的刚毕业大学生,在大学,身边同学都在迷茫打游...

台北小站奶茶加盟店费用是多少?一起来了解一下

台北小站奶茶加盟店费用是多少?一起来了解一下

加盟投资是此刻很多人选择挣钱的一种方法之一,休闲饮品行业就是这些加盟投资项目中较量火热的行业。因为水是生命之源,一小我私家想要保留下去就必然要有水的存在,可是此刻的饮品行业的加盟品牌是多种多样的,产物...

老婆和别人的微信聊天记录我如何随时监控查看

. 坐月子吃鸡蛋可以补充蛋白质,有助于产后的恢复,在坐月子期间,如果女性吃鸡蛋过多,也很容易导致中毒,那么,坐月子一天吃多少鸡蛋合适呢?接下来友谊长存小编就来说一说。 坐月子一天吃多少鸡蛋合适...

期权是什么?10分钟告诉你什么是期权

期权是什么?10分钟告诉你什么是期权

创始人们其实心知肚明,对于他们的创业公司员工来讲,除非熬到公司上市或者被出售的那天,要是中途离开,已经签订的期权合同就如同废纸一张,根本不可能兑现。 说穿了,所谓许诺的期权激励,从开始就是预谋好的一种...

imglarger

imglarger是一款基于人工智能学习及人工智能技术的图片放大而不是真的图片处置工具,一般来说点阵图只能缩小尺寸,若是放大就会造成图片失真,于是有人想到透过训练SRCNN让图片放大后也能维持无损、不...