团伙背景
Group123,也称ScarCruft,奇安信内部追踪编号为APT-Q-3,在2016年6月由卡巴斯基最先进行披露,被认为是来自朝鲜的攻击组织,最早活跃于2012年,该组织被认为与2016年的Operation Daybreak和Operation Erebus有关,且Group123和APT组织Kimsuky存在特征重叠。
Group123早期主要针对韩国,2017年后延伸攻击目标至半岛范围,包括日本,越南和中东。其主要针对工业垂直领域,包括化学品、电子、制造、航空航天、汽车和医疗保健实体。Group123会专门针对所需目标量身定制社会工程策略,利用定制化的鱼叉邮件投放压缩附件,包含伪装成文档的快捷方式文件。受害者点击打开后会释放恶意的RTF文档,并下载HTA,通过HTA文件执行PowerShell以触发后续阶段的攻击载荷植入。该组织使用文件共享站点分发恶意软件,同时也经常利用韩文处理器(HWP)和Adobe Flash中的漏洞[1]。
活动概述
奇安信威胁情报中心红雨滴团队一直以来都在对全球各大APT组织进行追踪,在对东亚相关APT组织进行追踪时我们发现该组织近期针对韩国的攻击频繁发生。
自微软宣布Office应用程序将阻止来自Internet的宏以来,各大APT组织纷纷改变他们的攻击策略和技术手段,以适应新的安全措施。在此背景下,Group123组织积极扩展新的攻击方式,使用伪装成合法文档的LNK文件进行攻击。这些LNK文件一般都比较大,因为里面内嵌了诱饵文档和混淆过后的PowerShell命令,仅一次双击过后即可运行,这或许比单纯使用已知的Nday漏洞进行攻击更为有效。其攻击流程如下图所示:
初始攻击文件通常为压缩包,里面包含诱饵PDF和伪装成PDF文件的LNK文件。
根据Group123组织常用的TTP进行推测,猜测其初始入口载荷为鱼叉式钓鱼邮件,而部分执行链包含韩语,以及包含Hangul Word Processor(HWP,韩国流行的文档格式)文件,足以说明其以韩国为相关攻击目标。
捕获的诱饵内容包括2023年5月23日在首尔空军酒店举行会议的活动日程表。出席者包括韩国国防部副部长、国家安保战略研究院、韩国防卫产业学会会长等。
以及最近的实时政治内容,4月26日美国总统拜登和韩国总统尹锡悦在白宫发表《华盛顿宣言》,韩国Jeong Seongjang于5月8日发表文章“《华盛顿宣言》对于应对朝核威胁有何帮助?”,被Group123组织从网站摘抄并生成hwp文档用作诱饵。
还有以朝鲜民主化网络NKnet相关内容作为诱饵。
以上诱饵均为hwp文档,另外还以pdf文件作为诱饵。例如以韩国对外经济政策研究院发布的简报“美中矛盾时代中国的通商战略变化及启示”相关内容作为诱饵。
还有以当前朝鲜的动向与社会变化、朝鲜政权的双重性等主题为诱饵。
另外在7月份捕获到的文件来看,Group123组织还以wav音频文件作为诱饵,包括防空警报声、韩国歌曲“백두와 한나는 내 조국-MR(-2키올림)”等。
LNK文件
通过对Group123组织的了LNK文件进行分析,我们发现在执行过程中会在%temp%释放以固定日期命名的BAT文件,据此我们相信Group123组织使用的LNK文件应该是使用工具生成的。
通过对样本执行过程中的PowerShell进行搜索,我们找到了EmbedExeLnk项目[2]。其功能是创建一个嵌入EXE文件的LNK文件,而不需要外部下载。通过创建LNK文件并将EXE文件附加到末尾来实现。LNK文件执行一些PowerShell命令,从LNK末尾读取EXE的内容,将其复制到%temp%文件夹中,然后执行。
Group123组织使用该项目,定制化修改代码,在生成的LNK文件中嵌入诱饵。该项目不仅可以自定义执行的PowerShell命令,还可以修改生成的LNK文件图标。
样本分析
这里我们以近期攻击的样本为例,双击恶意LNK文件会触发PowerShell的执行。
PowerShell从LNK文件中提取数据,并将其放入%temp%目录下,然后打开它,这个文件通常是一个诱饵,该样本释放的诱饵是一首歌曲。
PowerShell的另半部分是在%temp%目录下释放以日期命名的BAT脚本并执行。
去混淆后该脚本如下:
该脚本功能是从OneDrive下载后续载荷,通过后续载荷的第一个字节作为密钥对后面的内容进行异或解密,然后将解密后的数据反射注入到PowerShell进程中执行。
解密后的Shellcode首先利用GetTickCount和IsDebuggerPresent函数进行反调试,确定不被调试才会进入后续解密流程。
对Shellcode后面嵌入的内容进行解密,使用四字节的key进行异或解密。
解密的内容为Group123组织常用的RokRAT,随后将RokRAT在内存中展开,修复导入表,最终通过GetTickCount函数来判断整个加载过程是否超过700毫秒,未超过则调用入口点执行,超过则直接调用文件偏移0x400处的.text段执行。
RokRAT远控木马最早于2017年活跃,并且经历了一系列的演进和变化。其通常作为加密后的二进制文件进行分发,RokRAT能够捕获屏幕截图、键盘记录、反虚拟机检测,并利用云存储服务的API作为其命令和控制(C&C)基础设施的一部分。它使用Cloud、Box、Dropbox和Yandex等云存储平台进行通信和数据交换,使得攻击者能够远程控制受感染系统并执行恶意操作。RokRAT的持续演进和适应性使其能够跨多个操作系统和设备类型进行渗透和控制。除了针对韩国目标的活动外,还发现了RokRAT的macOS版本(称为CloudMensis)和Android版本。
此次捕获的RokRAT为2023年6月13日编译,其攻击链释放的bat文件被命名为230630.bat,据此我们有很大把握认定该样本为Group123组织近期攻击活动使用的样本。
其RokRAT执行的命令如下表所示:
指令 | 功能 |
i | 发送收集的信息到C2 |
j、b | 发送收集的信息到C2后终止进程 |
d | 发送收集的信息后执行清理脚本,然后终止进程 |
f | 发送收集的信息后执行清理脚本,然后终止进程(与d指令执行的脚本不同) |
h | 枚举磁盘上的文件 |
1、2、5、6 | 从URL下载执行shellcode |
3、4、7、8、9 | 初始化云服务信息,下载执行shellcode |
e | 使用cmd.exe执行命令 |
c | 遍历文件,窃取指定后缀文件 |
总结
通过追踪发现,Group123组织近期活动十分猖獗,其TTP复杂多变,仅近两个月的追踪我们便发现了数种TTP,但是攻击的核心都离不开诱饵文档。此次捕获的超大LNK文件,里面填充了大量垃圾数据,此举无非是为了绕过部分杀软或者部分安全监控软件。RokRAT作为Group123组织一直维护使用的木马,且其整个执行过程都是与云服务进行通信,从而极大地减少了被发现的风险。
APT组织攻击一直以来对于国家和企业来说都是一个巨大的网络安全威胁,并且会在长时间的攻击活动中保持高度的隐蔽性,需时刻提防,并采取相应的防御措施来应对这些持续威胁的存在。
防护建议
奇安信威胁情报中心提醒广大用户,谨防钓鱼攻击,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行标题夸张的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。
若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
部分IOC
MD5
487769a19f032e981f33023b2cb7fe10
02685c2ffc30c55667076cfb01033060
484bcb44845946e444f05295cf19e98e
72b3765580c8c8588feccf06f98c090b
5776368e1a8483d11f3ee1c383f193c4
7095811df4cb1ee4135ce605af7f163f
61f4946837d7cd1701eedb3c372121c6
1da701990560b8b0db2c4441145a3ee3
71dbebb8a31ea3de0115851bb15fd2bc
74e3d84492845067a0da6cfa00c064eb
445e7fd6bb684420d6b8523fe0c55228
fe5520783f715549cc3c4df9deaf89bf
44ba46dfff78bc62a3b2619d308ca40c
c14a66e1a039d2e51cb70adb609df872
7504a626993179e5819246234ca6c4c9
PDB
D:\\Sources\\MainWork\\Group2017\\Sample\\Release\\DogCall.pdb
URL
http://vmi810830.contaboserver.net/local/cache-js/f93754e660802d7cc70924cceb4738ef.gz
https://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL2kvcyFBZ0s4V1ZDeXlfX0plNGo4QlR
MWWg0bmhZazA_ZT1vMHI1QmQ/root/content
https://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL2kvcyFBbURRNTNEY0xNVUVmRjBj
TG5uckhOMGVJcmc_ZT14U083alE/root/content
https://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL3UvcyFBdHp5SUlSR3JuQnhhblU5U
W1DZWplU1RNZ1U_ZT14SDY0dks/root/content
参考链接
[1].https://ti.qianxin.com/apt/detail/5acc5730596a10001ca81c3b?name=Group123&type=map
[2].https://www.x86matthew.com/view_post?id=embed_exe_lnk
来源:奇安信威胁情报中心