假面之下:Konni组织冒充政府软件安装包攻击剖析
Contents
Konni是一个活跃于朝鲜半岛的APT组织,其主要针对俄罗斯、韩国以及周边国家地区的政府机构进行网络攻击活动,以窃取敏感信息为主。该组织的攻击活动最早可追溯到2014年,近年来活动频繁,被数个国内外安全团队持续追踪和披露。
近期,360高级威胁研究院发现该组织使用MSI载荷进行攻击,这类载荷在Konni之前攻击中很少使用,未被公开披露过。鉴于此,本文主要对此类伪装成政府安装包的样本进行分析,以便用户及时发现,避免中招。在本轮攻击中,Konni组织使用具有诱导性的文件名,如SpravkiBKsetup.msi,在运行MSI程序会释放正确的软件安装程序以迷惑用户,其恶意行为在后台静默执行,从而导致受害者中招,达到窃密目的。
一、恶意载荷分析
通过对Konni组织的持续追踪,我们捕获了多个Konni组织借助安装包进行投毒的恶意样本,下表是最近捕获的一个样本。
MD5
b896c2b2ae51f7100a342c73f5062896
文件大小
4.22 MB (4422144字节)
文件类型
MSI
捕获时间
2024-01-11
该安装包伪装成一款俄罗斯外交部使用的数据统计软件,根据统计可打印和生成关于所执行领事行动的年度报告,点击安装如下所示。
安装完成后,其软件正常程序、使用说明及恶意程序等都会释放到目录C:\Program Files (x86)\ConsulSoft\StatRKZU\下,该软件的使用说明如下所示。
另外该软件运行后需要用户点击进行UAC权限提升,由于正常软件安装也常常需要用户授权,故受害者往往在不知不觉中为恶意代码提供了便利。成功安装后,释放的恶意程序已经在后台具有高权限静默执行,首先执行install.vbs,该程序对install.cab解压,并根据系统位数重命名dll,然后执行其中的wiasvc.bat。
wiasvc.bat的功能是将本目录的wiasvc.dll和wiasvc.ini拷贝到系统目录system32下,并在本目录删除。然后创建名为“wiasvc”的服务,描述信息为“Windows Image Acquisition Service”,执行程序为wiasvc.dll,最后启动服务,以此实现驻留。
其wiasvc.dll(md5:ae2cc3f595b08d1aa27cb059bd166636)功能经过分析,发现本次载荷与我们之前关于该组织的分析报告(https://mp.weixin.qq.com/s/RHbsCLzahLP0zGgC3N5pPQ)里的组件相似,流程如下。
执行时先对配置文件wiasvc.ini进行解密,其中wiasvc.ini的前16个字节为IV(“6810D356CF0D0C7FC4452CAAD4CBC864”),其余内容是加密之后的C2服务器地址,Key为服务名的Hash256值,使用AES-CTR解密得到C2服务器地址如下所示:
解密得到多个C2地址,经分析实际第一个“victory-2024.mywebcommunity.org”有效,其余均为DGA,还未注册。但是恶意样本在连接域名时,会判断是否连接成功,如果连接失败,会逐步连接下一个域名。这样可以防止某个C2失效后,能够注册新的内置域名继续后续控制,这里解密出的C2与之前分析的组件有一定区别,之前解密的C2只有1个地址。
接着将获取的基本信息上传到“http://victory-2024.mywebcommunity.org /up.php?name={HostName}”,等待服务器响应执行相关指令,指令信息如下,相关功能可参见之前的分析。
此外,相比之前版本,本次增加了对文件格式为“.7z”、 “.docx”、“.xlsx”的文件直接加密上传,否则使用makecab进行打包后再加密上传。这或许是因为docx和xlsx类型文件本质为压缩包类,无需再进行压缩。
二、关联分析
在2023年10月份,我们当时就捕获过Konni组织使用的这类MSI载荷,介于两者样本类似,这里一并进行分析说明。
MD5
78b3290a93de62116e083eb7c9b93b22
0018e7e7613bd92b9dc23b9d4db59fa8
文件类型
MSI
文件名
SpravkiBKsetup_ver._2.5.msi
捕获时间
2023-10-10
Spravki BK是俄罗斯联邦政府推出的一款用于填写收入、支出、财产及财产相关义务证明的专用软件,可以从官网下载,通过对本次捕获的安装包和从官网下载的安装包进行比较,发现增加了部分恶意文件,如下所示(左为恶意安装包,右为官方安装包)。
默认安装目录为“C:\Program Files (x86)\СправкиБК\”, 下图为运行界面。
安装程序会执行释放的wapsvc.bat文件,该脚本和上面分析的类似,执行时创建名为“wapsvc”的服务,描述信息为“Wireless Application Protocol Service”,执行程序为wapsvc.dll,其具体功能不再叙述。
Konni组织在本轮攻击中伪装成MSI安装程序下发恶意组件,由于会释放正常的安装程序,这会导致很多安全意识不高的用户不容易察觉。此外,攻击者加密内置了多个C2,并且在上传信息时会判断C2是否连接成功,这有助于用户在某个C2曝光后,能快速转换到新的C2。该类攻击武器在Konni以往攻击中并不多见,近期才开始逐步投递使用,这也可以看出该组织在更新和迭代其武器库方面保持着一定的频率。后续我们也将持续关注该组织的最新攻击活动。
在这里提醒用户加强安全意识,切勿执行未知样本或点击来历不明的链接等操作。这些行为可能导致系统在没有任何防范的情况下被攻陷,从而导致机密文件和重要情报的泄漏。
b896c2b2ae51f7100a342c73f5062896 46d0e446d646ef828810894660365a165adaa9a9f0ac2e874e0c6d469650c41766f6a7c5ebbabe401e72c77c6aa5b727ae2cc3f595b08d1aa27cb059bd166636b4e7a18329a77cc1c551c84604b1d51178b3290a93de62116e083eb7c9b93b2203eb33df7e07e090c788e1fbede8b8612ef58336c6105f035fe560b77bc869fdb42d99e209f6d0ddbaa04b79749676850018e7e7613bd92b9dc23b9d4db59fa8victory-2024.mywebcommunity[.]org3cym4ims.medianewsonline[.]comj1p75639.medianewsonline[.]com99695njd.myartsonline[.]commhhnv7s9.myartsonline[.]comg66nzt8q.mygamesonline[.]orgp593d8g9.mygamesonline[.]orgmbfasq54.mypressonline[.]comtl2j38w9.mypressonline[.]comt8nptw2h.mywebcommunity[.]orgw9uzs9la.mywebcommunity[.]orgzcvbm1zv.onlinewebshop[.]netzomfaa9a.onlinewebshop[.]net694qf6w8.scienceontheweb[.]net24ev0apa.scienceontheweb[.]netc6cdg4su.sportsontheweb[.]net5s6bqbea.sportsontheweb[.]netjbkza9h7.atwebpages[.]com88zr7cua.atwebpages[.]comp8tebfel.getenjoyment[.]netcor8xcib.getenjoyment[.]nethttps://mp.weixin.qq.com/s/RHbsCLzahLP0zGgC3N5pPQ
360高级威胁研究院360高级威胁研究院是360数字安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。
近期,360高级威胁研究院发现该组织使用MSI载荷进行攻击,这类载荷在Konni之前攻击中很少使用,未被公开披露过。鉴于此,本文主要对此类伪装成政府安装包的样本进行分析,以便用户及时发现,避免中招。在本轮攻击中,Konni组织使用具有诱导性的文件名,如SpravkiBKsetup.msi,在运行MSI程序会释放正确的软件安装程序以迷惑用户,其恶意行为在后台静默执行,从而导致受害者中招,达到窃密目的。
一、恶意载荷分析
通过对Konni组织的持续追踪,我们捕获了多个Konni组织借助安装包进行投毒的恶意样本,下表是最近捕获的一个样本。
MD5
b896c2b2ae51f7100a342c73f5062896
文件大小
4.22 MB (4422144字节)
文件类型
MSI
捕获时间
2024-01-11
该安装包伪装成一款俄罗斯外交部使用的数据统计软件,根据统计可打印和生成关于所执行领事行动的年度报告,点击安装如下所示。
安装完成后,其软件正常程序、使用说明及恶意程序等都会释放到目录C:\Program Files (x86)\ConsulSoft\StatRKZU\下,该软件的使用说明如下所示。
另外该软件运行后需要用户点击进行UAC权限提升,由于正常软件安装也常常需要用户授权,故受害者往往在不知不觉中为恶意代码提供了便利。成功安装后,释放的恶意程序已经在后台具有高权限静默执行,首先执行install.vbs,该程序对install.cab解压,并根据系统位数重命名dll,然后执行其中的wiasvc.bat。
wiasvc.bat的功能是将本目录的wiasvc.dll和wiasvc.ini拷贝到系统目录system32下,并在本目录删除。然后创建名为“wiasvc”的服务,描述信息为“Windows Image Acquisition Service”,执行程序为wiasvc.dll,最后启动服务,以此实现驻留。
其wiasvc.dll(md5:ae2cc3f595b08d1aa27cb059bd166636)功能经过分析,发现本次载荷与我们之前关于该组织的分析报告(https://mp.weixin.qq.com/s/RHbsCLzahLP0zGgC3N5pPQ)里的组件相似,流程如下。
执行时先对配置文件wiasvc.ini进行解密,其中wiasvc.ini的前16个字节为IV(“6810D356CF0D0C7FC4452CAAD4CBC864”),其余内容是加密之后的C2服务器地址,Key为服务名的Hash256值,使用AES-CTR解密得到C2服务器地址如下所示:
解密得到多个C2地址,经分析实际第一个“victory-2024.mywebcommunity.org”有效,其余均为DGA,还未注册。但是恶意样本在连接域名时,会判断是否连接成功,如果连接失败,会逐步连接下一个域名。这样可以防止某个C2失效后,能够注册新的内置域名继续后续控制,这里解密出的C2与之前分析的组件有一定区别,之前解密的C2只有1个地址。
接着将获取的基本信息上传到“http://victory-2024.mywebcommunity.org /up.php?name={HostName}”,等待服务器响应执行相关指令,指令信息如下,相关功能可参见之前的分析。
此外,相比之前版本,本次增加了对文件格式为“.7z”、 “.docx”、“.xlsx”的文件直接加密上传,否则使用makecab进行打包后再加密上传。这或许是因为docx和xlsx类型文件本质为压缩包类,无需再进行压缩。
二、关联分析
在2023年10月份,我们当时就捕获过Konni组织使用的这类MSI载荷,介于两者样本类似,这里一并进行分析说明。
MD5
78b3290a93de62116e083eb7c9b93b22
0018e7e7613bd92b9dc23b9d4db59fa8
文件类型
MSI
文件名
SpravkiBKsetup_ver._2.5.msi
捕获时间
2023-10-10
Spravki BK是俄罗斯联邦政府推出的一款用于填写收入、支出、财产及财产相关义务证明的专用软件,可以从官网下载,通过对本次捕获的安装包和从官网下载的安装包进行比较,发现增加了部分恶意文件,如下所示(左为恶意安装包,右为官方安装包)。
默认安装目录为“C:\Program Files (x86)\СправкиБК\”, 下图为运行界面。
安装程序会执行释放的wapsvc.bat文件,该脚本和上面分析的类似,执行时创建名为“wapsvc”的服务,描述信息为“Wireless Application Protocol Service”,执行程序为wapsvc.dll,其具体功能不再叙述。
Konni组织在本轮攻击中伪装成MSI安装程序下发恶意组件,由于会释放正常的安装程序,这会导致很多安全意识不高的用户不容易察觉。此外,攻击者加密内置了多个C2,并且在上传信息时会判断C2是否连接成功,这有助于用户在某个C2曝光后,能快速转换到新的C2。该类攻击武器在Konni以往攻击中并不多见,近期才开始逐步投递使用,这也可以看出该组织在更新和迭代其武器库方面保持着一定的频率。后续我们也将持续关注该组织的最新攻击活动。
在这里提醒用户加强安全意识,切勿执行未知样本或点击来历不明的链接等操作。这些行为可能导致系统在没有任何防范的情况下被攻陷,从而导致机密文件和重要情报的泄漏。
b896c2b2ae51f7100a342c73f5062896 46d0e446d646ef828810894660365a165adaa9a9f0ac2e874e0c6d469650c41766f6a7c5ebbabe401e72c77c6aa5b727ae2cc3f595b08d1aa27cb059bd166636b4e7a18329a77cc1c551c84604b1d51178b3290a93de62116e083eb7c9b93b2203eb33df7e07e090c788e1fbede8b8612ef58336c6105f035fe560b77bc869fdb42d99e209f6d0ddbaa04b79749676850018e7e7613bd92b9dc23b9d4db59fa8victory-2024.mywebcommunity[.]org3cym4ims.medianewsonline[.]comj1p75639.medianewsonline[.]com99695njd.myartsonline[.]commhhnv7s9.myartsonline[.]comg66nzt8q.mygamesonline[.]orgp593d8g9.mygamesonline[.]orgmbfasq54.mypressonline[.]comtl2j38w9.mypressonline[.]comt8nptw2h.mywebcommunity[.]orgw9uzs9la.mywebcommunity[.]orgzcvbm1zv.onlinewebshop[.]netzomfaa9a.onlinewebshop[.]net694qf6w8.scienceontheweb[.]net24ev0apa.scienceontheweb[.]netc6cdg4su.sportsontheweb[.]net5s6bqbea.sportsontheweb[.]netjbkza9h7.atwebpages[.]com88zr7cua.atwebpages[.]comp8tebfel.getenjoyment[.]netcor8xcib.getenjoyment[.]nethttps://mp.weixin.qq.com/s/RHbsCLzahLP0zGgC3N5pPQ
360高级威胁研究院360高级威胁研究院是360数字安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。
IoC
0018e7e7613bd92b9dc23b9d4db59fa8
6810D356CF0D0C7FC4452CAAD4CBC864
78b3290a93de62116e083eb7c9b93b22
ae2cc3f595b08d1aa27cb059bd166636
b896c2b2ae51f7100a342c73f5062896
victory-2024.mywebcommunity.org
3cym4ims.medianewsonline.com
j1p75639.medianewsonline.com
99695njd.myartsonline.com
mhhnv7s9.myartsonline.com
g66nzt8q.mygamesonline.org
p593d8g9.mygamesonline.org
mbfasq54.mypressonline.com
tl2j38w9.mypressonline.com
t8nptw2h.mywebcommunity.org
w9uzs9la.mywebcommunity.org
zcvbm1zv.onlinewebshop.net
zomfaa9a.onlinewebshop.net
694qf6w8.scienceontheweb.net
24ev0apa.scienceontheweb.net
c6cdg4su.sportsontheweb.net
5s6bqbea.sportsontheweb.net
jbkza9h7.atwebpages.com
88zr7cua.atwebpages.com
p8tebfel.getenjoyment.net
cor8xcib.getenjoyment.net
ykcchu.c1.biz
skjq5w.c1.biz
53qb7q.c1.biz
sqp811.c1.biz
afrcoh.c1.biz
olhugh.c1.biz
rvnrjj.c1.biz
hsjzzf.c1.biz
rcox0j.c1.biz
5l0lw0.c1.biz
psr76y.c1.biz
z7ibqa.c1.biz
6wq8ci.c1.biz
j5p841.c1.biz
p1hkta.c1.biz
s3erh6.c1.biz
nn2s21.c1.biz
a8ng1x.c1.biz
m6d8s5.c1.biz
0c3qyu.c1.biz
6810D356CF0D0C7FC4452CAAD4CBC864
78b3290a93de62116e083eb7c9b93b22
ae2cc3f595b08d1aa27cb059bd166636
b896c2b2ae51f7100a342c73f5062896
victory-2024.mywebcommunity.org
3cym4ims.medianewsonline.com
j1p75639.medianewsonline.com
99695njd.myartsonline.com
mhhnv7s9.myartsonline.com
g66nzt8q.mygamesonline.org
p593d8g9.mygamesonline.org
mbfasq54.mypressonline.com
tl2j38w9.mypressonline.com
t8nptw2h.mywebcommunity.org
w9uzs9la.mywebcommunity.org
zcvbm1zv.onlinewebshop.net
zomfaa9a.onlinewebshop.net
694qf6w8.scienceontheweb.net
24ev0apa.scienceontheweb.net
c6cdg4su.sportsontheweb.net
5s6bqbea.sportsontheweb.net
jbkza9h7.atwebpages.com
88zr7cua.atwebpages.com
p8tebfel.getenjoyment.net
cor8xcib.getenjoyment.net
ykcchu.c1.biz
skjq5w.c1.biz
53qb7q.c1.biz
sqp811.c1.biz
afrcoh.c1.biz
olhugh.c1.biz
rvnrjj.c1.biz
hsjzzf.c1.biz
rcox0j.c1.biz
5l0lw0.c1.biz
psr76y.c1.biz
z7ibqa.c1.biz
6wq8ci.c1.biz
j5p841.c1.biz
p1hkta.c1.biz
s3erh6.c1.biz
nn2s21.c1.biz
a8ng1x.c1.biz
m6d8s5.c1.biz
0c3qyu.c1.biz