APT组织Konni对韩最新攻击细节曝光
Contents
Konni APT 组织据悉由特定政府提供支持,自 2014 年以来一直持续活动,该组织长期针对俄罗斯、韩国等地区进行定向攻击活动,其擅长使用社会热点话题对目标进行鱼叉式网络钓鱼攻击。
微步情报局在近期通过威胁狩猎系统捕获到的多起Konni对韩攻击活动中,分析发现以下情况:
2.1 团伙画像
团伙画像
特点
描述
平台
Window平台
攻击目标
韩国RTP工程部以及涉及税务、对朝市场研究的人员
攻击地区
韩国
攻击目的
信息收集活动
攻击向量
Lnk文件、AutoIt免杀脚本
2.2 技术特点 在此次入侵行动中,Konni组织通过两种方式隐藏恶意行为:
使用失陷站托管恶意载荷:相关载荷的持续时间极短,目前仅捕获到一个核心载荷。然而,由于钓鱼样本实现了持久化功能,Konni组织仍可以通过感染对应的失陷站,放置相应文件,从而执行核心载荷。
- 核心载荷为编译后的AutoIt(au3)脚本,免杀率极高:这是因为许多检测引擎尚未掌握处理这种编译文件的执行方式导致,亟需解决以应对这种攻击方式。
编译后的核心载荷使用AutoIt工具读取后执行指令,然后在window系统上执行指定的恶意行为,该工具的官网地址为www.autoitscript.com,如下图所示。AutoIt是一种用来自动化Windows GUI和通用脚本编程的免费编程语言。它最初是为自动化Windows应用程序的GUI(图形用户界面)而设计的,但随着时间的推移,AutoIt已经发展成了一种功能强大、用途广泛的脚本语言。AutoIt.exe 是 AutoIt 脚本语言的解释器,用于运行用 AutoIt 编写的脚本,通常是 .au3 文件。
Konni在历史攻击中使用的核心AutoIt脚本,在VT引擎检出率均未被检测恶意,如下图所示:
近日,微步情报局捕获到一个以“会议材料”为诱导名称的恶意样本,该样本针对韩国RTP公司员工,主要目的是进行信息收集活动。该压缩包的SHA256哈希值为 d7f9185ffc17b3d6f1fd91eafbf9ccc42e2d75c338571a03aec2fd44993e3d37,解压后的文件如下所示:
文件名
译文
判断
1. 알티피_엔지니어링본부 사업개발회의 자료.hwp.lnk
1.RTP_工程总部业务发展会议材料.hwp.lnk
恶意
2. 알티피_엔지니어링본부 사업개발회의 요약.pptx
2.RTP_工程总部业务发展会议材料.pptx
正常文件
由于未知原因,恶意文件释放的HWP文件和正常的PPTX文件打开时均显示乱码(如下图所示,左为HWP文件,右为PPTX文件)。然而,LNK文件执行的恶意代码仍能正常运行。
分析文档推测,Konni团伙在拷贝诱饵文件代码时流程出现异常,具体表现为恶意脚本在释放诱饵文档时,原本应对相关文档进行异或解密,但使用的解密密钥却是0x00,显得极不合理(如下图所示)。
3.1 基本信息
对恶意样本进行分析,相关样本信息如下:
sha256
0aaec376904434197bae4f1a10ecfe8d4564d95fdfa8236ea960535710661c5f
sha1
c5d67fb97a7a824168c872f8557eb52f503c9798
MD5
87dc4c8f67cffc8a9699328face923e2
文件类型
lnk文件
文件大小
2.03 MB
文件名称
1. 알티피_엔지니어링본부 사업개발회의 자료.hwp.lnk
(1.RTP_工程总部业务发展会议材料.hwp.lnk)
功能描述
Lnk文件执行PowerShell脚本,下载失陷站托管的恶意载荷并持久化运行
该样本会在受感染系统上下载AutoIt3.exe白文件和恶意au3脚本,但直到分析结束时,这些恶意载荷仍未被下载到。通过进一步溯源分析,发现2024年4月出现的攻击样本与此次事件一致,并且能够成功下载到核心载荷。基于此,对该样本进行了如下分析:
sha256
2189aa5be8a01bc29a314c3c3803c2b8131f49a84527c6b0a710b50df661575e
sha1
65f5f7d127c478522e9669200de20000edcb6cfb
MD5
9d6c79c0b395cceb83662aa3f7ed0123
文件类型
lnk文件
文件大小
283 KB
文件名称
첨부1_소명자료 목록(탈세제보).hwp.lnk
(附件1_说明材料清单(逃税举报).hwp.lnk)
功能描述
Lnk文件执行PowerShell脚本,下载失陷站样本并持久化运行
3.2 详细分析
相关流程图如下:当点击LNK文件时会执行poweshell指令,在该指令前存在无意义填充代码,如下图所示。该PowerShell指令通过微步的情报智脑XGPT去除混淆后,代码如下图所示:并且XGPT还可以查看代码意义,发现这段代码主要是解密文件、下载载荷和持久化脚本功能。在vzGyLDmQaW函数中释放hwp格式文档以迷惑受害人员,表格内容大致为(韩国)国税征收法施行细则附件表格,如下图所示:然后脚本创建隐藏目录,下载执行载荷以及创建任务建立持久化。具体方式为拷贝window下的curl工具,通过失陷站https[:]//jethropc.com 下载白文件AutoIt3.exe以及恶意脚本QwbpjvdmTA.au3,将之放置到C盘下创建的默认隐藏的随机名称的目录下。 通过逆向QwbpjvdmTA.au3并格式化关键代码,sha256为ff87a87bc552723f4aee3e7b6c75686f9d52754b3bfe7adde9e1218bc764cbc4。该脚本整体功能比较简单,可以称得上是大道至简,主要作用与C&C通信执行命令以及上传/下载文件的任务。通过互斥体(Global\RT3AN7C9QS-7UYE-9K6G-A8F1-HY8IT3CNMEQP)检测脚本是否单例运行。通过检测AvastUI和AvastSvc进程检测杀毒软件Avast是否运行,运行与否脚本会采取不同的运行方式。如果 Avast 进程存在,脚本会等待 30 到 60 秒,拷贝本身文件并在前后插入随机垃圾数据,然后创建新脚本文件放置在C:\Users\Public\Documents\下,删除原有计划任务后,并创建新的计划任务,原脚本文件会被删除,重新启动脚本文件。
如果 Avast 进程不存在,删除原有任务后,脚本会创建一个指向自身的快捷方式,并放入启动目录,以确保在系统启动时自动运行以维持持久化。
然后创建93.183.93.185:57860的socket连接方式,然后循环接受&执行命令。接受指令的长度为1个字节,使用数字区分指令,有以下四种:
指令类型
操作
通信方式
1(executecmd)
失陷机上执行命令
获取2字节,解析为指定命令长度
再获取该长度字节,转化为字符串命令
使用读写管道断链执行cmd命令
2(upload)
上传文件,黑客端到失陷机
获取4字节,解析为指定文件名称长度
获取该长度字节,转化为名称
再获取4字节,解析为指定文件字节长度
获取该长度字节,转化为文件内容
写入指定名称的文件内容
3(download)
下载文件,失陷机到黑客端
获取4字节,解析为指定文件名称长度
获取该长度字节,转化为名称
查找文件是否存在,若存在
发送4字节,为该文件长度
再发送文件到黑客端
4
无
无
直到分析结束,分析人员仍未接收到相关指令或者文件。
通过对该样本的拓线,目前可以发现相关联样本共6个,关键信息如下:
可以发现这几个样本的创建时间均为2023-12-25 11:39:35,可以确定Konni在2023年12月创建了恶意文件的模板,然后在2024年使用脚本工具生成恶意lnk文件并进行针对性投放。相关的释放文件如下图所示:
Sha256
文件名
文件创建时间
在野出现时间
载荷失陷站
7887cea2962c954ccb60d005da03abcf
68962517d1b3e3d2a472f5d952a03f8e
2023-12-25 11:39:35
2024-07-06
executivedaytona.com
0aaec376904434197bae4f1a10ecfe8d
4564d95fdfa8236ea960535710661c5f
1. 알티피_엔지니어링본부 사업개발회의 자료.hwp.lnk
2023-12-25 11:39:35
2024-06-28
cavasa.com.co
0329bb5b3a450b0a8f148a57e045bf6e
d40eb49a62e026bd71b021a2efc40aed
2023-12-25 11:39:35
2024-06-02
phasechangesolutions.com
5ea09247ad85915a8d1066d1825061cc
8348e14c4e060e1eba840d5e56ab3e4d
2023-12-25 11:39:35
2024-06-02
phasechangesolutions.com
2189aa5be8a01bc29a314c3c3803c2b8
131f49a84527c6b0a710b50df661575e
첨부1_소명자료 목록(탈세제보).hwp.lnk
2023-12-25 11:39:35
2024-04-23
jethropc.com
ba59f1ece68fa051400fd46467b0dc0a
5294b8644c107646e75d225a45fff015
북한 내부정보/시장통제 관련 내부 동향 및 물가.hwp.lnk
2023-12-25 11:39:35
2024-04-04
www.cammirando.com
其中的phasechangesolutions.com失陷站至今仍存在目录开放漏洞。
C2
Hash7887cea2962c954ccb60d005da03abcf68962517d1b3e3d2a472f5d952a03f8e0aaec376904434197bae4f1a10ecfe8d4564d95fdfa8236ea960535710661c5f0329bb5b3a450b0a8f148a57e045bf6ed40eb49a62e026bd71b021a2efc40aed5ea09247ad85915a8d1066d1825061cc8348e14c4e060e1eba840d5e56ab3e4d2189aa5be8a01bc29a314c3c3803c2b8131f49a84527c6b0a710b50df661575eba59f1ece68fa051400fd46467b0dc0a5294b8644c107646e75d225a45fff015
- 清除C盘下可疑随机名称目录,该目录包含重名后的curl.exe文件、重命名后的AutoIt3.exe文件以及后缀为au3名称为随机名称的文件(未转移);
- 清除C:\Users\Public目录下的可疑随机名称目录,其中包含随机名称名称的bat脚本文件或者启动项中可疑的lnk文件(已转移);
微步情报局在近期通过威胁狩猎系统捕获到的多起Konni对韩攻击活动中,分析发现以下情况:
2.1 团伙画像
团伙画像
特点
描述
平台
Window平台
攻击目标
韩国RTP工程部以及涉及税务、对朝市场研究的人员
攻击地区
韩国
攻击目的
信息收集活动
攻击向量
Lnk文件、AutoIt免杀脚本
2.2 技术特点 在此次入侵行动中,Konni组织通过两种方式隐藏恶意行为:
使用失陷站托管恶意载荷:相关载荷的持续时间极短,目前仅捕获到一个核心载荷。然而,由于钓鱼样本实现了持久化功能,Konni组织仍可以通过感染对应的失陷站,放置相应文件,从而执行核心载荷。
- 核心载荷为编译后的AutoIt(au3)脚本,免杀率极高:这是因为许多检测引擎尚未掌握处理这种编译文件的执行方式导致,亟需解决以应对这种攻击方式。
编译后的核心载荷使用AutoIt工具读取后执行指令,然后在window系统上执行指定的恶意行为,该工具的官网地址为www.autoitscript.com,如下图所示。AutoIt是一种用来自动化Windows GUI和通用脚本编程的免费编程语言。它最初是为自动化Windows应用程序的GUI(图形用户界面)而设计的,但随着时间的推移,AutoIt已经发展成了一种功能强大、用途广泛的脚本语言。AutoIt.exe 是 AutoIt 脚本语言的解释器,用于运行用 AutoIt 编写的脚本,通常是 .au3 文件。
Konni在历史攻击中使用的核心AutoIt脚本,在VT引擎检出率均未被检测恶意,如下图所示:
近日,微步情报局捕获到一个以“会议材料”为诱导名称的恶意样本,该样本针对韩国RTP公司员工,主要目的是进行信息收集活动。该压缩包的SHA256哈希值为 d7f9185ffc17b3d6f1fd91eafbf9ccc42e2d75c338571a03aec2fd44993e3d37,解压后的文件如下所示:
文件名
译文
判断
1. 알티피_엔지니어링본부 사업개발회의 자료.hwp.lnk
1.RTP_工程总部业务发展会议材料.hwp.lnk
恶意
2. 알티피_엔지니어링본부 사업개발회의 요약.pptx
2.RTP_工程总部业务发展会议材料.pptx
正常文件
由于未知原因,恶意文件释放的HWP文件和正常的PPTX文件打开时均显示乱码(如下图所示,左为HWP文件,右为PPTX文件)。然而,LNK文件执行的恶意代码仍能正常运行。
分析文档推测,Konni团伙在拷贝诱饵文件代码时流程出现异常,具体表现为恶意脚本在释放诱饵文档时,原本应对相关文档进行异或解密,但使用的解密密钥却是0x00,显得极不合理(如下图所示)。
3.1 基本信息
对恶意样本进行分析,相关样本信息如下:
sha256
0aaec376904434197bae4f1a10ecfe8d4564d95fdfa8236ea960535710661c5f
sha1
c5d67fb97a7a824168c872f8557eb52f503c9798
MD5
87dc4c8f67cffc8a9699328face923e2
文件类型
lnk文件
文件大小
2.03 MB
文件名称
1. 알티피_엔지니어링본부 사업개발회의 자료.hwp.lnk
(1.RTP_工程总部业务发展会议材料.hwp.lnk)
功能描述
Lnk文件执行PowerShell脚本,下载失陷站托管的恶意载荷并持久化运行
该样本会在受感染系统上下载AutoIt3.exe白文件和恶意au3脚本,但直到分析结束时,这些恶意载荷仍未被下载到。通过进一步溯源分析,发现2024年4月出现的攻击样本与此次事件一致,并且能够成功下载到核心载荷。基于此,对该样本进行了如下分析:
sha256
2189aa5be8a01bc29a314c3c3803c2b8131f49a84527c6b0a710b50df661575e
sha1
65f5f7d127c478522e9669200de20000edcb6cfb
MD5
9d6c79c0b395cceb83662aa3f7ed0123
文件类型
lnk文件
文件大小
283 KB
文件名称
첨부1_소명자료 목록(탈세제보).hwp.lnk
(附件1_说明材料清单(逃税举报).hwp.lnk)
功能描述
Lnk文件执行PowerShell脚本,下载失陷站样本并持久化运行
3.2 详细分析
相关流程图如下:当点击LNK文件时会执行poweshell指令,在该指令前存在无意义填充代码,如下图所示。该PowerShell指令通过微步的情报智脑XGPT去除混淆后,代码如下图所示:并且XGPT还可以查看代码意义,发现这段代码主要是解密文件、下载载荷和持久化脚本功能。在vzGyLDmQaW函数中释放hwp格式文档以迷惑受害人员,表格内容大致为(韩国)国税征收法施行细则附件表格,如下图所示:然后脚本创建隐藏目录,下载执行载荷以及创建任务建立持久化。具体方式为拷贝window下的curl工具,通过失陷站https[:]//jethropc.com 下载白文件AutoIt3.exe以及恶意脚本QwbpjvdmTA.au3,将之放置到C盘下创建的默认隐藏的随机名称的目录下。 通过逆向QwbpjvdmTA.au3并格式化关键代码,sha256为ff87a87bc552723f4aee3e7b6c75686f9d52754b3bfe7adde9e1218bc764cbc4。该脚本整体功能比较简单,可以称得上是大道至简,主要作用与C&C通信执行命令以及上传/下载文件的任务。通过互斥体(Global\RT3AN7C9QS-7UYE-9K6G-A8F1-HY8IT3CNMEQP)检测脚本是否单例运行。通过检测AvastUI和AvastSvc进程检测杀毒软件Avast是否运行,运行与否脚本会采取不同的运行方式。如果 Avast 进程存在,脚本会等待 30 到 60 秒,拷贝本身文件并在前后插入随机垃圾数据,然后创建新脚本文件放置在C:\Users\Public\Documents\下,删除原有计划任务后,并创建新的计划任务,原脚本文件会被删除,重新启动脚本文件。
如果 Avast 进程不存在,删除原有任务后,脚本会创建一个指向自身的快捷方式,并放入启动目录,以确保在系统启动时自动运行以维持持久化。
然后创建93.183.93.185:57860的socket连接方式,然后循环接受&执行命令。接受指令的长度为1个字节,使用数字区分指令,有以下四种:
指令类型
操作
通信方式
1(executecmd)
失陷机上执行命令
获取2字节,解析为指定命令长度
再获取该长度字节,转化为字符串命令
使用读写管道断链执行cmd命令
2(upload)
上传文件,黑客端到失陷机
获取4字节,解析为指定文件名称长度
获取该长度字节,转化为名称
再获取4字节,解析为指定文件字节长度
获取该长度字节,转化为文件内容
写入指定名称的文件内容
3(download)
下载文件,失陷机到黑客端
获取4字节,解析为指定文件名称长度
获取该长度字节,转化为名称
查找文件是否存在,若存在
发送4字节,为该文件长度
再发送文件到黑客端
4
无
无
直到分析结束,分析人员仍未接收到相关指令或者文件。
通过对该样本的拓线,目前可以发现相关联样本共6个,关键信息如下:
可以发现这几个样本的创建时间均为2023-12-25 11:39:35,可以确定Konni在2023年12月创建了恶意文件的模板,然后在2024年使用脚本工具生成恶意lnk文件并进行针对性投放。相关的释放文件如下图所示:
Sha256
文件名
文件创建时间
在野出现时间
载荷失陷站
7887cea2962c954ccb60d005da03abcf
68962517d1b3e3d2a472f5d952a03f8e
2023-12-25 11:39:35
2024-07-06
executivedaytona.com
0aaec376904434197bae4f1a10ecfe8d
4564d95fdfa8236ea960535710661c5f
1. 알티피_엔지니어링본부 사업개발회의 자료.hwp.lnk
2023-12-25 11:39:35
2024-06-28
cavasa.com.co
0329bb5b3a450b0a8f148a57e045bf6e
d40eb49a62e026bd71b021a2efc40aed
2023-12-25 11:39:35
2024-06-02
phasechangesolutions.com
5ea09247ad85915a8d1066d1825061cc
8348e14c4e060e1eba840d5e56ab3e4d
2023-12-25 11:39:35
2024-06-02
phasechangesolutions.com
2189aa5be8a01bc29a314c3c3803c2b8
131f49a84527c6b0a710b50df661575e
첨부1_소명자료 목록(탈세제보).hwp.lnk
2023-12-25 11:39:35
2024-04-23
jethropc.com
ba59f1ece68fa051400fd46467b0dc0a
5294b8644c107646e75d225a45fff015
북한 내부정보/시장통제 관련 내부 동향 및 물가.hwp.lnk
2023-12-25 11:39:35
2024-04-04
www.cammirando.com
其中的phasechangesolutions.com失陷站至今仍存在目录开放漏洞。
C2
Hash7887cea2962c954ccb60d005da03abcf68962517d1b3e3d2a472f5d952a03f8e0aaec376904434197bae4f1a10ecfe8d4564d95fdfa8236ea960535710661c5f0329bb5b3a450b0a8f148a57e045bf6ed40eb49a62e026bd71b021a2efc40aed5ea09247ad85915a8d1066d1825061cc8348e14c4e060e1eba840d5e56ab3e4d2189aa5be8a01bc29a314c3c3803c2b8131f49a84527c6b0a710b50df661575eba59f1ece68fa051400fd46467b0dc0a5294b8644c107646e75d225a45fff015
- 清除C盘下可疑随机名称目录,该目录包含重名后的curl.exe文件、重命名后的AutoIt3.exe文件以及后缀为au3名称为随机名称的文件(未转移);
- 清除C:\Users\Public目录下的可疑随机名称目录,其中包含随机名称名称的bat脚本文件或者启动项中可疑的lnk文件(已转移);
IoC
0329bb5b3a450b0a8f148a57e045bf6e
0aaec376904434197bae4f1a10ecfe8d
0aaec376904434197bae4f1a10ecfe8d4564d95fdfa8236ea960535710661c5f
131f49a84527c6b0a710b50df661575e
2189aa5be8a01bc29a314c3c3803c2b8
2189aa5be8a01bc29a314c3c3803c2b8131f49a84527c6b0a710b50df661575e
4564d95fdfa8236ea960535710661c5f
5294b8644c107646e75d225a45fff015
5ea09247ad85915a8d1066d1825061cc
65f5f7d127c478522e9669200de20000edcb6cfb
68962517d1b3e3d2a472f5d952a03f8e
7887cea2962c954ccb60d005da03abcf
8348e14c4e060e1eba840d5e56ab3e4d
87dc4c8f67cffc8a9699328face923e2
93.183.93.185
9d6c79c0b395cceb83662aa3f7ed0123
ba59f1ece68fa051400fd46467b0dc0a
c5d67fb97a7a824168c872f8557eb52f503c9798
d40eb49a62e026bd71b021a2efc40aed
d7f9185ffc17b3d6f1fd91eafbf9ccc42e2d75c338571a03aec2fd44993e3d37
ff87a87bc552723f4aee3e7b6c75686f9d52754b3bfe7adde9e1218bc764cbc4
https://jethropc.com
0aaec376904434197bae4f1a10ecfe8d
0aaec376904434197bae4f1a10ecfe8d4564d95fdfa8236ea960535710661c5f
131f49a84527c6b0a710b50df661575e
2189aa5be8a01bc29a314c3c3803c2b8
2189aa5be8a01bc29a314c3c3803c2b8131f49a84527c6b0a710b50df661575e
4564d95fdfa8236ea960535710661c5f
5294b8644c107646e75d225a45fff015
5ea09247ad85915a8d1066d1825061cc
65f5f7d127c478522e9669200de20000edcb6cfb
68962517d1b3e3d2a472f5d952a03f8e
7887cea2962c954ccb60d005da03abcf
8348e14c4e060e1eba840d5e56ab3e4d
87dc4c8f67cffc8a9699328face923e2
93.183.93.185
9d6c79c0b395cceb83662aa3f7ed0123
ba59f1ece68fa051400fd46467b0dc0a
c5d67fb97a7a824168c872f8557eb52f503c9798
d40eb49a62e026bd71b021a2efc40aed
d7f9185ffc17b3d6f1fd91eafbf9ccc42e2d75c338571a03aec2fd44993e3d37
ff87a87bc552723f4aee3e7b6c75686f9d52754b3bfe7adde9e1218bc764cbc4
https://jethropc.com