疑似APT-C-55(Kimsuky)组织利用商业软件Web Browser Password Viewer进行攻击
Contents
Kimsuky,别名Mystery Baby、Baby Coin、Smoke Screen、Black Banshe等,是疑似具有东亚国家背景的APT组织。该团伙长期针对韩国政府、国防军工、新闻机构、教育学术等目标发起攻击,擅长以社会热点事件作为诱饵,通过鱼叉式网络钓鱼和社会工程学技巧向受害者投递诱饵文档,获取受害者信任后窃取用户信息。该组织拥有功能完善的恶意代码武器库,与APT组织Konni存在基础设施重叠等关联性。
近日,360高级威胁研究院在日常高价值样本狩猎过程中,捕获疑似Kimsuky组织利用利用商业软件Web Browser Password Viewer进行测试的样本,疑似测试功能是收集用户浏览器密码信息,可见该APT组织再次活跃并“蠢蠢欲动”。根据研究人员跟踪分析,此次活动有如下特点:
此次捕获样本疑似在测试阶段,功能尚不完善。初始载荷与近期Kimsuky组织投递的hancom载荷样本有所差异。
样本利用RC4+ZLIB解密出后续载荷, 载荷后续注入到svchost.exe进程中。
第二阶段载荷利用开源商业软件Web Browser Password Viewer进行更改,疑似测试功能为收集用户浏览器密码信息。
本次捕获样本并没有进行持久化的的注册表写入操作,收集的信息,也没有相关上传操作。
文件名
MD5
编译时间
hancom.dll
6ae81464fa07cbe9ff288b05f3aefe50
2021-09-08 14:30:21
样本与之前hancom样本相同,检测49B46336-BA4D-4905-9824-D282F05F6576窗口标识实际为韩国杀软安博士v3组件,并进行窗口隐藏。
获取资源相关API,从自身读取出一个名为 BIN的资源,并创建路径C:\Users\用户名\AppData\Roaming\information
第二阶段载荷利用RC4算法进行加密,解密后在调用zlib解压出载荷
利用秘钥12345678-119E-5C42-DA59-EE3738930C23进行RC4解密
解压出来的载荷后续注入到进程svchost.exe中
样本会收集用户网络信息、系统信息、进程信息、文件信息,并保存在C:\Users\用户名\AppData\Roaming\information目录下。分别命名netinfo.dat、sysinfo.dat、procinfo.dat、filelist.dat.
文件名
MD5
56DF55EF50E9B9C891437C7148A0764A.exe
56DF55EF50E9B9C891437C7148A0764A
在通过查看该文件描述后,推测是利用开源商业软件Web Browser Password Viewer进行更改
WebBrowserPassView是一个密码恢复工具,可以显示以下浏览器的密码:Internet Explorer (4.0 - 11.0), Mozilla Firefox (All Versions),谷歌Chrome, Safari和Opera。这个工具可以用来恢复丢失/忘记的任何网站的密码,包括流行的网站,如Facebook,雅虎,谷歌,GMail,只要密码存储在Web浏览器。
通过二进制对比确定了第二阶段载荷功能与开源商业软件Web Browser Password Viewer二进制基本相同,左侧为Web Browser Password Viewer,右侧为第二阶段载荷,可以发现\information\aaweb.txt路径字符串在商业软件中是不存在的。
通过对比,在地址0x447cf0、0x4462D0、0x4065E0是存在差异的
根据地址定位到载荷相应位置后,可以看到在目录C:\Users\用户名\AppData\Roaming\information下创建文件aaweb.txt,疑似测试功能为收集用户浏览器密码信息,并保存在aaweb.txt文件中。
左侧为本次捕获hancom载荷,右侧为近期捕获hancom载荷,可以确定为Kimsuky组织正在测试投递的hancom相关载荷。
近期捕获hancom载荷 2
本次捕获hancom载荷 2
近期捕获hancom载荷 22.都是从资源区段中读取后续载荷数据并注入svchost.exe
3.检测49B46336-BA4D-4905-9824-D282F05F6576窗口标进行窗口隐藏功能相同
本次捕获样本会收集用户网络信息、系统信息、进程信息、文件信息,并保存在C:\Users\用户名\AppData\Roaming\information目录下。命名netinfo.dat、sysinfo.dat、procinfo.dat、filelist.dat.而对比前段时间捕获的hancom样本,是把相关信息保存在C:\Users\test\AppData\Roaming\OneDriver\out\PI_000.dat 、 PI_001.dat 中。样本收集信息种类大致相同。本次捕获样本并没有进行持久化的的注册表写入操作,收集的信息,也没有相关上传操作。
Kimsuky APT组织作为一个十分活动的APT组织,其针对南韩的活动次数也愈来愈多, 其不断进行自我的更新投递样本也表现出其的不成熟性,但这更需要我们保持警惕。此次捕获样本疑似为Kimsuky组织hancom类型测试样本,对比近期样本可以看出,该组织正在利用并篡改商业软件进行测试。后续可能会有更多相关类似情况出现,360高级威胁研究院会持续追踪该组织相关攻击活动。
6ae81464fa07cbe9ff288b05f3aefe50
56DF55EF50E9B9C891437C7148A0764A
360高级威胁研究院360高级威胁研究院是360政企安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。
近日,360高级威胁研究院在日常高价值样本狩猎过程中,捕获疑似Kimsuky组织利用利用商业软件Web Browser Password Viewer进行测试的样本,疑似测试功能是收集用户浏览器密码信息,可见该APT组织再次活跃并“蠢蠢欲动”。根据研究人员跟踪分析,此次活动有如下特点:
此次捕获样本疑似在测试阶段,功能尚不完善。初始载荷与近期Kimsuky组织投递的hancom载荷样本有所差异。
样本利用RC4+ZLIB解密出后续载荷, 载荷后续注入到svchost.exe进程中。
第二阶段载荷利用开源商业软件Web Browser Password Viewer进行更改,疑似测试功能为收集用户浏览器密码信息。
本次捕获样本并没有进行持久化的的注册表写入操作,收集的信息,也没有相关上传操作。
文件名
MD5
编译时间
hancom.dll
6ae81464fa07cbe9ff288b05f3aefe50
2021-09-08 14:30:21
样本与之前hancom样本相同,检测49B46336-BA4D-4905-9824-D282F05F6576窗口标识实际为韩国杀软安博士v3组件,并进行窗口隐藏。
获取资源相关API,从自身读取出一个名为 BIN的资源,并创建路径C:\Users\用户名\AppData\Roaming\information
第二阶段载荷利用RC4算法进行加密,解密后在调用zlib解压出载荷
利用秘钥12345678-119E-5C42-DA59-EE3738930C23进行RC4解密
解压出来的载荷后续注入到进程svchost.exe中
样本会收集用户网络信息、系统信息、进程信息、文件信息,并保存在C:\Users\用户名\AppData\Roaming\information目录下。分别命名netinfo.dat、sysinfo.dat、procinfo.dat、filelist.dat.
文件名
MD5
56DF55EF50E9B9C891437C7148A0764A.exe
56DF55EF50E9B9C891437C7148A0764A
在通过查看该文件描述后,推测是利用开源商业软件Web Browser Password Viewer进行更改
WebBrowserPassView是一个密码恢复工具,可以显示以下浏览器的密码:Internet Explorer (4.0 - 11.0), Mozilla Firefox (All Versions),谷歌Chrome, Safari和Opera。这个工具可以用来恢复丢失/忘记的任何网站的密码,包括流行的网站,如Facebook,雅虎,谷歌,GMail,只要密码存储在Web浏览器。
通过二进制对比确定了第二阶段载荷功能与开源商业软件Web Browser Password Viewer二进制基本相同,左侧为Web Browser Password Viewer,右侧为第二阶段载荷,可以发现\information\aaweb.txt路径字符串在商业软件中是不存在的。
通过对比,在地址0x447cf0、0x4462D0、0x4065E0是存在差异的
根据地址定位到载荷相应位置后,可以看到在目录C:\Users\用户名\AppData\Roaming\information下创建文件aaweb.txt,疑似测试功能为收集用户浏览器密码信息,并保存在aaweb.txt文件中。
左侧为本次捕获hancom载荷,右侧为近期捕获hancom载荷,可以确定为Kimsuky组织正在测试投递的hancom相关载荷。
近期捕获hancom载荷 2
本次捕获hancom载荷 2
近期捕获hancom载荷 22.都是从资源区段中读取后续载荷数据并注入svchost.exe
3.检测49B46336-BA4D-4905-9824-D282F05F6576窗口标进行窗口隐藏功能相同
本次捕获样本会收集用户网络信息、系统信息、进程信息、文件信息,并保存在C:\Users\用户名\AppData\Roaming\information目录下。命名netinfo.dat、sysinfo.dat、procinfo.dat、filelist.dat.而对比前段时间捕获的hancom样本,是把相关信息保存在C:\Users\test\AppData\Roaming\OneDriver\out\PI_000.dat 、 PI_001.dat 中。样本收集信息种类大致相同。本次捕获样本并没有进行持久化的的注册表写入操作,收集的信息,也没有相关上传操作。
Kimsuky APT组织作为一个十分活动的APT组织,其针对南韩的活动次数也愈来愈多, 其不断进行自我的更新投递样本也表现出其的不成熟性,但这更需要我们保持警惕。此次捕获样本疑似为Kimsuky组织hancom类型测试样本,对比近期样本可以看出,该组织正在利用并篡改商业软件进行测试。后续可能会有更多相关类似情况出现,360高级威胁研究院会持续追踪该组织相关攻击活动。
6ae81464fa07cbe9ff288b05f3aefe50
56DF55EF50E9B9C891437C7148A0764A
360高级威胁研究院360高级威胁研究院是360政企安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。
IoC
56DF55EF50E9B9C891437C7148A0764A
6ae81464fa07cbe9ff288b05f3aefe50
6ae81464fa07cbe9ff288b05f3aefe50