疑似Kimsuky(APT-Q-2)针对韩国企业发起攻击
Contents
团伙背景
Kimsuky,别名 Mystery Baby、Baby Coin、Smoke Screen、Black Banshe 等,奇安信内部跟踪编号为 APT-Q-2。该 APT 组织于 2013 年公开披露,攻击活动最早可追溯至 2012 年。Kimsuky 主要攻击目标为韩国,涉及国防、教育、能源、政府、医疗以及智囊团等领域,以机密信息窃取为主。该组织通常使用社会工程学、鱼叉邮件、水坑攻击等手段投递恶意软件,攻击手法多样,拥有针对 Windows 和 Android 平台的攻击武器。
事件概述
近期奇安信威胁情报中心发现一批与 Kimsuky 历史样本相似的恶意软件。其中一个样本释放韩国软件厂商 BlueMoonSoft 签名的软件迷惑受害者。
恶意软件中的后门样本连接的 C2 服务器使用动态域名,后门主要功能包括:收集感染设备的系统和网络配置信息、下载后续载荷并执行。较新版本的后门在运行时会检测设备主机名是否在内置的目标列表中,如果不在则直接结束运行,主机名的筛选名单包含字符串 "DANAM",疑似指向韩国企业 Danam,该公司业务涉及电子制造、通信和国防工业。
详细分析
相关样本信息如下:
MD5 (文件名) | VT上传时间 | 创建时间 | 说明 |
6efa53232350a76a52c7050b548ffe83 (2-3 ssh.zip) | 2025-03-24 01:40:00 UTC | - | 压缩包中包含3种不同的恶意软件 |
a52e10dd48d64372d94f87d8eb7ed8bf (sshdc.exe) | 2025-03-24 01:45:25 UTC | 2024-03-27 02:48:53 UTC | 压缩包中的恶意软件,可以在指定用户session中执行任意命令 |
0f06fe847a43108a211233a9c7aa9780 (sshd_conf.dat) | 2025-03-24 01:45:24 UTC | 2025-03-19 04:41:51 UTC | 压缩包中的恶意软件,DLL,具有键盘记录、获取剪贴板、截屏功能 |
e8f5d4bbf96855f7f4ad0ff4d67efe5e (ssh_config.dat) | 2025-03-24 01:45:24 UTC | 2025-03-19 18:18:30 UTC | 压缩包中的恶意软件,DLL后门 |
920f408fdc80c5697739cda9cf9a4ca7 (BizboxAMessenger.exe) | 2025-03-21 06:57:40 UTC | - | Go编写的Dropper,用于释放后门 |
d37569b238ec6c073a06a28bc665072c (IconCache.mdf) | 2025-03-27 10:02:06 UTC | 2025-03-20 04:52:44 UTC | DLL后门(较新版本),提取自上面Dropper的内嵌数据 |
Dropper
沙箱分析
将Dropper样本上传到奇安信情报沙箱(https://sandbox.ti.qianxin.com/sandbox/page)获取该样本的初步信息。
奇安信情报沙箱报告链接 | https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AZXw93rcONZSmF3-9K4E |
样本文件名 | BizboxAMessenger.exe |
样本MD5 | 920f408fdc80c5697739cda9cf9a4ca7 |
样本类型 | PE64 EXE |
样本大小 | 8.28 MB (8683520字节) |
沙箱基于智能的恶意行为综合判断给出了 10 分的恶意评分。
行为异常部分显示了样本的一些可疑行为,比如将样本路径重命名,后面加一个 "~"。
创建可执行文件 BMSGTray.exe和msbuild.bat。
创建可疑进程,包括启动 BMSGTray.exe 和 msbuild.bat,使用 regsvr32.exe 调用 IconCache.mdf,以及删除样本文件自身。
主机行为“进程”信息显示了这些可疑进程之间的关系,启动 BMSGTray.exe、IconCache.mdf 和删除重命名后的样本文件由样本进程执行,而启动 msbuild.bat 由 IconCache.mdf 进程完成。
恶意代码细节
样本启动后,主函数 main_main 首先调用 main_ChangeCurrentExe 将样本文件本身重命名为带 "~" 的路径,便于后续提取释放文件数据,以及执行自删除操作。
释放 BMSGTray.exe 并启动,BMSGTray.exe 文件数据在 Dropper 磁盘文件偏移位置 0x149AE0 …
Kimsuky,别名 Mystery Baby、Baby Coin、Smoke Screen、Black Banshe 等,奇安信内部跟踪编号为 APT-Q-2。该 APT 组织于 2013 年公开披露,攻击活动最早可追溯至 2012 年。Kimsuky 主要攻击目标为韩国,涉及国防、教育、能源、政府、医疗以及智囊团等领域,以机密信息窃取为主。该组织通常使用社会工程学、鱼叉邮件、水坑攻击等手段投递恶意软件,攻击手法多样,拥有针对 Windows 和 Android 平台的攻击武器。
事件概述
近期奇安信威胁情报中心发现一批与 Kimsuky 历史样本相似的恶意软件。其中一个样本释放韩国软件厂商 BlueMoonSoft 签名的软件迷惑受害者。
恶意软件中的后门样本连接的 C2 服务器使用动态域名,后门主要功能包括:收集感染设备的系统和网络配置信息、下载后续载荷并执行。较新版本的后门在运行时会检测设备主机名是否在内置的目标列表中,如果不在则直接结束运行,主机名的筛选名单包含字符串 "DANAM",疑似指向韩国企业 Danam,该公司业务涉及电子制造、通信和国防工业。
详细分析
相关样本信息如下:
MD5 (文件名) | VT上传时间 | 创建时间 | 说明 |
6efa53232350a76a52c7050b548ffe83 (2-3 ssh.zip) | 2025-03-24 01:40:00 UTC | - | 压缩包中包含3种不同的恶意软件 |
a52e10dd48d64372d94f87d8eb7ed8bf (sshdc.exe) | 2025-03-24 01:45:25 UTC | 2024-03-27 02:48:53 UTC | 压缩包中的恶意软件,可以在指定用户session中执行任意命令 |
0f06fe847a43108a211233a9c7aa9780 (sshd_conf.dat) | 2025-03-24 01:45:24 UTC | 2025-03-19 04:41:51 UTC | 压缩包中的恶意软件,DLL,具有键盘记录、获取剪贴板、截屏功能 |
e8f5d4bbf96855f7f4ad0ff4d67efe5e (ssh_config.dat) | 2025-03-24 01:45:24 UTC | 2025-03-19 18:18:30 UTC | 压缩包中的恶意软件,DLL后门 |
920f408fdc80c5697739cda9cf9a4ca7 (BizboxAMessenger.exe) | 2025-03-21 06:57:40 UTC | - | Go编写的Dropper,用于释放后门 |
d37569b238ec6c073a06a28bc665072c (IconCache.mdf) | 2025-03-27 10:02:06 UTC | 2025-03-20 04:52:44 UTC | DLL后门(较新版本),提取自上面Dropper的内嵌数据 |
Dropper
沙箱分析
将Dropper样本上传到奇安信情报沙箱(https://sandbox.ti.qianxin.com/sandbox/page)获取该样本的初步信息。
奇安信情报沙箱报告链接 | https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AZXw93rcONZSmF3-9K4E |
样本文件名 | BizboxAMessenger.exe |
样本MD5 | 920f408fdc80c5697739cda9cf9a4ca7 |
样本类型 | PE64 EXE |
样本大小 | 8.28 MB (8683520字节) |
沙箱基于智能的恶意行为综合判断给出了 10 分的恶意评分。
行为异常部分显示了样本的一些可疑行为,比如将样本路径重命名,后面加一个 "~"。
创建可执行文件 BMSGTray.exe和msbuild.bat。
创建可疑进程,包括启动 BMSGTray.exe 和 msbuild.bat,使用 regsvr32.exe 调用 IconCache.mdf,以及删除样本文件自身。
主机行为“进程”信息显示了这些可疑进程之间的关系,启动 BMSGTray.exe、IconCache.mdf 和删除重命名后的样本文件由样本进程执行,而启动 msbuild.bat 由 IconCache.mdf 进程完成。
恶意代码细节
样本启动后,主函数 main_main 首先调用 main_ChangeCurrentExe 将样本文件本身重命名为带 "~" 的路径,便于后续提取释放文件数据,以及执行自删除操作。
释放 BMSGTray.exe 并启动,BMSGTray.exe 文件数据在 Dropper 磁盘文件偏移位置 0x149AE0 …
IoC
104.37.184.39
a52e10dd48d64372d94f87d8eb7ed8bf
920f408fdc80c5697739cda9cf9a4ca7
0f06fe847a43108a211233a9c7aa9780
6efa53232350a76a52c7050b548ffe83
d37569b238ec6c073a06a28bc665072c
e8f5d4bbf96855f7f4ad0ff4d67efe5e
a52e10dd48d64372d94f87d8eb7ed8bf
920f408fdc80c5697739cda9cf9a4ca7
0f06fe847a43108a211233a9c7aa9780
6efa53232350a76a52c7050b548ffe83
d37569b238ec6c073a06a28bc665072c
e8f5d4bbf96855f7f4ad0ff4d67efe5e