疑似Groip123 (APT37) 攻击事件记录

文章摘自腾讯安全 原文地址:https://s.tencent.com/research/report/831.html

一、事件概述

腾讯御见威胁情报中心在2019年8月底到9月中旬,检测到一批针对疑似中韩贸易等相关人士的钓鱼攻击活动。经过分析溯源发现,疑似是Group123攻击组织的最新攻击活动。

Group123,又被称为APT37,疑似来自朝鲜的攻击组织,该组织经常攻击国内的外贸公司、在华外企高管,甚至政府部门。该组织最常使用鱼叉钓鱼邮件进行定向攻击,使用Nday或者0day漏洞进行木马捆绑和伪装。

二、技术细节分析

1.初始攻击

本次攻击活动虽然未获取到相关攻击邮件,但是从相关日志来进行分析,可以确定是一次邮件钓鱼攻击,使用的诱饵名字包括???.rar、BN-190820.rar、list of delivery.rar等。

2、恶意文件植入

本次投递的诱饵为一个rar的压缩文件,解压后为一个伪装成word图标和名字的可执行文件:

该可执行文件实际为一个下载器,该下载器的技术分析如下:

1)具有延时执行功能:

2)下载恶意模块,下载http://artmuseums.or.kr/swfupload/fla/1.jpg文件到%temp%\winsxz:

3)解密文件,简单异或解密,密钥如下:

42 32 33 37 38 33 35 31 36 41 36 34 39 44 36 3742 32 44 38 31 43 41 46 45 41 31 42 41 33 39 33

4)设置注册表 实现开机启动木马:

3、RAT分析

下载回来的jpg文件经过解密后,为真正的RAT,文件路径为:C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\svchost.exe

该文件加了vmp壳:

执行后创建名为HD_March的互斥量,防止重复运行:

与downloader使用同样的方法延时运行:

通过执行命令收集计算机信息,值得注意的是收集主机文档文件信息的时候含有.hwp文件信息的收集,该文件是韩国主流办公文件生成的文档文件,具有明显的地域特征:

RAT的功能已控制码如下:


ControlCode1


ControlCode2


行为


SLEEP


interval


Sleep指定时间


RUNCMD


cmdline


CMD Shell


url


SETBURL


burl


下载相关


rurl


remove


EXEC


src


执行文件


dst


crypt


UPLOAD


type


上传文件相关


url


extlist


dirlist

4、下发文件分析

此外,svchost还下发了一个文件C:\\Users\\Administrator\\AppData\\Local\\Temp\\mscmgr

该文件执行后,首先读取同目录下的aconfig.ini文件,从中获取C2信息:

释放{rand}.exe文件,MD5为:6f29df571ac82cfc99912fdcca3c7b4c,初步分析该文件为winrar命令行版压缩文件:

打包指定目录下的指定扩展名文件:

扫描全盘文件,打包指定扩展名的文件:

打包的文件均上传到C2上:

有意思的是,通信中存在下面的字符串,具体意义不明:

三、关联分析

1、攻击背景

由于诱饵诱饵文件中存在的韩文,而且收集的文件中包含有韩国主流办公文件生成的文档文件hwp,此外从受控机的背景可以发现为从事一些商贸的人士,且机器中出现过包含朝鲜语的文件,因此我们猜测攻击的对象为疑似跟韩国相关的贸易人士。

此外,从攻击的C2来看,都跟韩国相关,如:artmuseums.or.kr,腾讯安图检索结果如下:

而该站点为韩国博物馆的网站,因此我们猜测攻击者先攻击了该网站,然后以改站做为C2,以此来躲避查杀:

2、基础设施关联

1)某RAT的C2:casaabadia.es,我们关联到相关文件:

相关文件为:gallery.jpg (3cc51847c2b7b20138ad041300d7d722)

通过该文件分析,我们关联到某文章:

https://www.fortinet.com/blog/threat-research/evasive-malware-campaign-abuses-free-cloud-service-targets-korean-speakers.html

虽然该文件并未明确支持组织名,但是从相关iocs的杀软家族来看为ScarCruft ,即为Group123:

2)某些受控机在下载附件前会访问某url:www.chateau-eu.fr,具体原因不明。通过腾讯安图检索www.chateau-eu.fr如下:

而根据www.chateau-eu.fr进行反查,同样关联到另一篇文章:

该文章提到的信息跟这次攻击活动都非常相似:

  • 如文件名svchost,但是样本无法下载,因此无法实锤;
  • 基础设施域名重合;
  • url都都存在wp-content

而该文章中提到的组织正好为Group123。

3、TTPs

从攻击手法上来看,该活动的攻击TTPs、攻击对象、攻击者背景跟Darkhotel和Group123类似。但是由于攻击对象主要为韩国,以及通过RAT下发收集文件的插件的方式,跟Group123都极为相似,因此我们猜测大概率为Group123。

4、结论

综上,我们对该次攻击定性为攻击组织Group123的新的攻击活动。

四、总结

Group123是针对中国大陆攻击活动非常频繁的一个攻击组织,该组织有使用0day进行攻击的能力,因此攻击战斗力不容小觑。虽然目前发现的一些受控机都为跟外贸相关的单位和人士,但是相关的政府部门也不能掉以轻心。

五、安全建议

我们建议外贸企业及重要机构参考以下几点加强防御:

1.通过官方渠道或者正规的软件分发渠道下载相关软件;

2.谨慎连接公用的WiFi网络。若必须连接公用WiFi网络,建议不要进行可能泄露机密信息或隐私信息的操作,如收发邮件、IM通信、银行转账等;最好不要在连接公用WiFi时进行常用软件的升级操作;

3.不要打开不明来源的邮件附件、可疑文档勿启用宏代码;

4.及时打系统补丁和重要软件的补丁;

5.使用腾讯电脑管家或腾讯御点终端安全管理系统防御可能的病毒木马攻击;

6.推荐企业用户部署腾讯御界高级威胁检测系统及时捕捉黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html)

六、附录

1、IOCs

hxxp://artmuseums.or.kr/swfupload/fla/1.jpg

hxxp://fjtlephare.fr/wp-content/uploads/2018/05/null/

hxxp://casaabadia.es/ wp-content/uploads/2018/06/null/

svchost.exe(RAT)

e26c81c569f6407404a726d48aa4d886

list of delivery.doc.exe

ce4614fcf12ef25bcfc47cf68e3d008d

BN-190820.doc.exe(RAT)

94fd9ed97f1bc418a528380b1d0a59c3

plugin

b23a707a8e34d86d5c4902760990e6b1

winrar

6f29df571ac82cfc99912fdcca3c7b4c

2019-08-08.doc.exe

51da0042fe2466747e6e6bc7ff6012b2

2、参考文章

1)https://www.fortinet.com/blog/threat-research/evasive-malware-campaign-abuses-free-cloud-service-targets-korean-speakers.html

2)https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/07170728/Guerrero-Saade-Raiu-VB2017.pdf

原文地址:https://www.cnblogs.com/hupo-wey/p/11857183.html

时间: 2024-10-16 12:58:44

疑似Groip123 (APT37) 攻击事件记录的相关文章

疑似网易泄露用户密码事件浅析

事件概述 2015年10月19日下午,乌云漏洞报告平台宣布接到一起惊人的数据泄密报告,网易的用户数据库疑似泄露,影响到网易163/126邮箱过亿数据,泄露信息包括用户名.密码MD5值.密码密保信息MD5值.登陆IP地址以及用户生日等,解开后测试大部分邮箱依旧还可登陆. 乌云建议用户登陆reg.163.com用户中心,在风险提示处查询近一个月的异常登录记录,以及异地登陆提醒邮件.如有异常,需尽快修改密码,改密码的同时也将密码提示答案进行更新修改,同时开启邮箱的安全防护功能. 另外,对于已被破解的网

安天移动安全联合猎豹移动首次揭露“Operation Manul”疑似在Android端的间谍软件行为

前言 去年8月份,美国黑帽大会曾公开发表了一篇报告,揭露了名为"Operation Manul"的组织针对该国相关人士进行的大面积网络攻击和窃听行为,并分析了其在PC端使用的窃听技术及域名. 通过对报告中披露的多个用做指令控制和文件上传的C2 Server域名进行内部检索对比,安天移动安全联合猎豹移动发现了一批相关恶意样本,分析发现该间谍软件通过伪装成海外知名应用潜入目标用户手机,在获取权限后会展开一系列窃听行为:私自拍照.录音,并窃取用户短信.通讯录.地理位置等隐私信息,而后将相关数

[转帖]WannaCry惊天大发现!疑似朝鲜黑客组织Lazarus所为

WannaCry惊天大发现!疑似朝鲜黑客组织Lazarus所为 Threatbook2017-05-16共588524人围观 ,发现 17 个不明物体系统安全 https://www.freebuf.com/articles/system/134846.html 据说 朝鲜也在攻击印度的核设施. 编号: TB-2017-0007 报告置信度:65 TAG:勒索软件 WannaCry Lazarus朝鲜 蠕虫秘密开关域名 TLP: 白(报告转发及使用不受限制) 日期: 2017-05-16 摘要

SQL Server AlwaysON 同步模式的疑似陷阱

SQL Server 2012 推出的最重要的功能之一Alwayson,是一个集之前Cluster和Mirror于一体的新功能,即解决了Cluster依赖共享存储的问题,又解决了镜像不能实时读以及转移后连接串需要添加转移IP的问题,看起来的确很实用. 而且Alwayson多副本的功能为实现读写分离提供了可能,试想一下,当主副本压力比较大的时候,是否可以将读操作引向辅助副本呢?答案一般来讲是肯定的,请注意,是一般! Alwayson有两个同步模式,同步和异步,即然是同步,理所当然的我认为他是实时的

马云被宗庆后董明珠炮轰 疑似强硬回应:是你的不行了

原文链接:http://finance.ifeng.com/a/20161231/15116356_0.shtml 马云 12月29日,马云出席“江苏省浙江商会十周年大会”,针对近期备受争议的“宗庆后谈五新胡扯”事件,马云,企业家必须学习和思考“五新”趋势,否则这个企业将要被落后的思想淘汰,而不是被技术淘汰,对于企业家来说“五新”也是一个学习的过程,疑似回击宗庆后和董明珠. 马云认为,实体经济和虚拟经济不是对立关系,企业家切不可活在昨天,抱怨明天.实体经济只有经历住新科技的挑战.转型和创新的洗礼

猪八戒上发现疑似传销任务贴,月息30%

猪八戒上发现疑似传销任务贴,月息30% 今天在猪八戒上看到一个疑似传销的任务贴,月息30%:http://task.zhubajie.com/6250935/ 看了下说明:http://china-mmm.kr.com/cn/what_is_mmm/ ,月息30%, 感觉很像传销,大家觉得呢? 版权声明:本文为博主原创文章,未经博主允许不得转载.

小米雷军:疑似偷学华为,400亿美金背后的人才密码

大家都知道小米很成功,但是大家知道成功的模式是参考谁的吗?下面吐槽哥根据时代信息整理的内容,分享给大家! 1.向华为学习:奋斗者,团队第一,产品第二 企业成功最重要的因素是什么? 最重要的是团队,其次才是产品,有好的团队才有可能做出好产品. 公司的竞争本质不是人才竞争,而是人才背后的机制竞争. 华为为何强大?华为86%的精英成为公司的“奋斗者”,就是合伙人!这些人玩命的干,竞争对手没法比! 所以,公司20%的精英骨干必须发展成为合伙人,我一直强调,不想当合伙人的员工不是好员工!我们不需要打工仔!

[20140804] 疑似存储上线导致数据库一致性问题

背景: 同一个存储设备提供了2块存储,1块已经在使用 a,另外一块没有使用b. 疑似: 当b初始化,上线之后,导致在a存储的数据库文件出现一致性问题. 解决方法: 幸好有数据库镜像,打算切换数据库镜像,然后备份数据库镜像,还原到原来的master. 然后创建数据库镜像,在切换到原来的master上. [20140804] 疑似存储上线导致数据库一致性问题,布布扣,bubuko.com

Unity (疑似)BUG LayerMask GetMask Default

发现一个Unity 的疑似 BUG, LayerMask的GetMask方法在对除"Default"层以外的其他层调用时, 都能正确返回2的该层编号N次方作为掩码. 而在例如 LayerMask.GetMask("Default");//return 0, 而不是1 的代码中, 返回的是0, 而不是2的N次方1. 此BUG可能导致部分处理Default层的代码出错.