APT-C-55(Kimsuky)组织假借“生日祝福”为诱饵分发Quasar RAT的攻击活动分析
Contents
CoreSec360
360威胁情报中心是全球领先的威胁情报共享、分析和预警平台,依托360安全大脑百亿级样本,万亿级防护日志等海量安全数据,整合360漏洞挖掘、恶意代码分析、威胁情报追踪等团队的安全能力,产出高质量的安全威胁情报,驱动安全的防御、检测和响应。
根据攻击文件中的韩语特征,我们的分析表明,此次攻击的目标主要是针对韩国。
我们最初捕获到的样本是一种CHM类型的文件。一旦用户执行该文件,恶意命令将被用来加载远程的VBS脚本。接着,该VBS脚本将负责加载远程的PowerShell脚本。该PowerShell脚本经过quicklz算法压缩,需要进行解压缩后方能继续执行。解压缩后,通过Loader将QuasarRat加载到CasPol.exe进程空间中,并最终执行QuasarRat以获取用户信息。
图 1 攻击流程图
在我们的发现中,攻击者使用了伪装成“生日祝福”信息的CHM文件作为初始载荷。当此CHM文件被受害者执行时,其内部的恶意脚本便会被加载运行。
图 2 诱饵信息示例
恶意脚本将以Base64编码的PowerShell脚本嵌入到一个VBS文件中,然后通过执行CHM文件中的代码来加载这个VBS文件。而此VBS文件的主要任务是从远程C2服务器获取并下载下一阶段的载荷。
图 3 代码执行
下载的载荷是名为runrunlastrun.vbs的脚本。该脚本首先在C:\ProgramData\目录下创建一个名为WindowsAppCertification的文件夹。然后该脚本从系统目录C:\Windows\SysWOW64\复制powershell.exe和wscript.exe两个文件到新创建的WindowsAppCertification文件夹内。接着创建三个文件:winappversion.ini, runps.vbs, 和 conf.ps1,这三个文件都位于WindowsAppCertification文件夹内。winappversion.ini文件包含用于创建计划任务的VBScript,该计划任务每两小时执行一次,并运行runps.vbs文件。runps.vbs文件包含一行命令,该命令通过PowerShell执行conf.ps1文件。conf.ps1文件包含一个简单的PowerShell命令,用于从指定的URL(https[:]//drive.google.com/uc?export=download&id=1wKzc_xz_qdqDWnIrCl3KmMpXFFKaEsG8&confirm=t)下载载荷并执行。最后,该脚本使用wscript.exe执行winappversion.ini文件,这将启动上述的计划任务。这个任务每两小时就会启动PowerShell,并从指定的URL下载并执行载荷。
图 4 runrunlastrun.vbs相关代码
图 5 runlastrun.ps1相关代码
在进行深入分析后,我们发现解压后的可执行文件其内部名称为"ProcessHollowingCsharp",其PDB路径是“O:\work\VirusAttack\ProcessHollowingCsharp\ProcessHollowingCsharp\obj\x86\Release\ProcessHollowingCsharp.pdb”。主要操作是从内置资源中提取信息,并对这些信息进行RC4解密。值得注意的是,这个经过解密的负载实际上是Quasar RAT的V1.3.0.0版本。进一步的研究发现,该可执行文件将解密后的Quasar RAT注入到了系统路径"C:\Windows\Microsoft.NET\Framework\v4.0.30319\CasPol.exe"的进程中,进一步加深了其潜伏和持久化的能力。如下图所示,我们已经从Quasar RAT中成功提取了相应的配置信息。
图 6 ProcessHollowingCsharp的main代码
图 7 Quasar RAT配置信息
在2022年的公开威胁情报中,曾详细揭示了Kimsuky组织利用QuasarRAT进行攻击以窃取用户信息[1]。进入2023年,新的公开威胁情报再次揭露了Kimsuky组织通过使用恶意文档投递QuasarRAT恶意软件进行的攻击活动[2]。这次的攻击活动所使用的一系列恶意软件或脚本与我们捕获的攻击活动中所使用的恶意脚本及QuasarRAT key有着基本的一致性。基于这些一致性,我们可以确定这两次攻击活动都是由同一攻击组织发起的。
在此次攻击中,攻击者使用了具有诱惑性的CHM文件来针对韩国目标进行攻击。进一步分析发现,提取的HTML恶意代码的格式与Kimsuky组织最近的攻击活动中使用的恶意代码格式基本一致[3]。
综上所述,基于此次攻击活动的TTP、OSINT以及以往Kimsuky组织TTP,我们以中等信心将此次攻击活动归属为Kimsuky组织。
在此次攻击中,攻击者采用了诱人的信息作为诱饵来发动攻击,这种攻击方式相当常见。因此,我们强烈建议用户在执行任何未知文件之前,务必确认其来源并谨慎对待。以下是防范排查建议。
C63336057F756C711C594E8B59B0265F
29652A5599AAB8088D8BFD453471FEFD
9E2D09F47CC48DD3E84205376A8F9ECB
81424820BDF139B1FE3DE3FAA4E98AE6
2DA5816578795BE004AD5D4190276A7F
CE161ED698C71AD9BEBB737F301B2B89
86A2CF6525C30C9D39CD6A4B0F67670B
8e35c04988a1ff196a12624139918f94
F667BF120D5760845FCDD2F02254EFF4
A9106A7C36418B9E4A19D0C7CC654E46
C26E3C33D2F3A5A13282EEE6E764BD79
9D8C438B710B314B2DC2E003B2F177B7
https[:]//drive.google.com/uc?export=download&id=1Ovbe1se3Rh9WH1LYT1ob1ngpdtjJW1yF&confirm=t
https[:]//drive.google.com/uc?export=download&id=1wKzc_xz_qdqDWnIrCl3KmMpXFFKaEsG8&confirm=t
https[:]//drive.google.com/uc?export=download&id=1GUfzCH1FsSSQZ_Xf8HwOLgqhsygBTnK9&confirm=t
https[:]//drive.google.com/uc?export=download&id=1fJt46ezrFwAKDAM-Mn64_ped54hvjIaO&confirm=t
[1] https://asec.ahnlab.com/en/31089/
360高级威胁研究院
微信扫一扫
关注该公众号
360威胁情报中心是全球领先的威胁情报共享、分析和预警平台,依托360安全大脑百亿级样本,万亿级防护日志等海量安全数据,整合360漏洞挖掘、恶意代码分析、威胁情报追踪等团队的安全能力,产出高质量的安全威胁情报,驱动安全的防御、检测和响应。
根据攻击文件中的韩语特征,我们的分析表明,此次攻击的目标主要是针对韩国。
我们最初捕获到的样本是一种CHM类型的文件。一旦用户执行该文件,恶意命令将被用来加载远程的VBS脚本。接着,该VBS脚本将负责加载远程的PowerShell脚本。该PowerShell脚本经过quicklz算法压缩,需要进行解压缩后方能继续执行。解压缩后,通过Loader将QuasarRat加载到CasPol.exe进程空间中,并最终执行QuasarRat以获取用户信息。
图 1 攻击流程图
在我们的发现中,攻击者使用了伪装成“生日祝福”信息的CHM文件作为初始载荷。当此CHM文件被受害者执行时,其内部的恶意脚本便会被加载运行。
图 2 诱饵信息示例
恶意脚本将以Base64编码的PowerShell脚本嵌入到一个VBS文件中,然后通过执行CHM文件中的代码来加载这个VBS文件。而此VBS文件的主要任务是从远程C2服务器获取并下载下一阶段的载荷。
图 3 代码执行
下载的载荷是名为runrunlastrun.vbs的脚本。该脚本首先在C:\ProgramData\目录下创建一个名为WindowsAppCertification的文件夹。然后该脚本从系统目录C:\Windows\SysWOW64\复制powershell.exe和wscript.exe两个文件到新创建的WindowsAppCertification文件夹内。接着创建三个文件:winappversion.ini, runps.vbs, 和 conf.ps1,这三个文件都位于WindowsAppCertification文件夹内。winappversion.ini文件包含用于创建计划任务的VBScript,该计划任务每两小时执行一次,并运行runps.vbs文件。runps.vbs文件包含一行命令,该命令通过PowerShell执行conf.ps1文件。conf.ps1文件包含一个简单的PowerShell命令,用于从指定的URL(https[:]//drive.google.com/uc?export=download&id=1wKzc_xz_qdqDWnIrCl3KmMpXFFKaEsG8&confirm=t)下载载荷并执行。最后,该脚本使用wscript.exe执行winappversion.ini文件,这将启动上述的计划任务。这个任务每两小时就会启动PowerShell,并从指定的URL下载并执行载荷。
图 4 runrunlastrun.vbs相关代码
图 5 runlastrun.ps1相关代码
在进行深入分析后,我们发现解压后的可执行文件其内部名称为"ProcessHollowingCsharp",其PDB路径是“O:\work\VirusAttack\ProcessHollowingCsharp\ProcessHollowingCsharp\obj\x86\Release\ProcessHollowingCsharp.pdb”。主要操作是从内置资源中提取信息,并对这些信息进行RC4解密。值得注意的是,这个经过解密的负载实际上是Quasar RAT的V1.3.0.0版本。进一步的研究发现,该可执行文件将解密后的Quasar RAT注入到了系统路径"C:\Windows\Microsoft.NET\Framework\v4.0.30319\CasPol.exe"的进程中,进一步加深了其潜伏和持久化的能力。如下图所示,我们已经从Quasar RAT中成功提取了相应的配置信息。
图 6 ProcessHollowingCsharp的main代码
图 7 Quasar RAT配置信息
在2022年的公开威胁情报中,曾详细揭示了Kimsuky组织利用QuasarRAT进行攻击以窃取用户信息[1]。进入2023年,新的公开威胁情报再次揭露了Kimsuky组织通过使用恶意文档投递QuasarRAT恶意软件进行的攻击活动[2]。这次的攻击活动所使用的一系列恶意软件或脚本与我们捕获的攻击活动中所使用的恶意脚本及QuasarRAT key有着基本的一致性。基于这些一致性,我们可以确定这两次攻击活动都是由同一攻击组织发起的。
在此次攻击中,攻击者使用了具有诱惑性的CHM文件来针对韩国目标进行攻击。进一步分析发现,提取的HTML恶意代码的格式与Kimsuky组织最近的攻击活动中使用的恶意代码格式基本一致[3]。
综上所述,基于此次攻击活动的TTP、OSINT以及以往Kimsuky组织TTP,我们以中等信心将此次攻击活动归属为Kimsuky组织。
在此次攻击中,攻击者采用了诱人的信息作为诱饵来发动攻击,这种攻击方式相当常见。因此,我们强烈建议用户在执行任何未知文件之前,务必确认其来源并谨慎对待。以下是防范排查建议。
C63336057F756C711C594E8B59B0265F
29652A5599AAB8088D8BFD453471FEFD
9E2D09F47CC48DD3E84205376A8F9ECB
81424820BDF139B1FE3DE3FAA4E98AE6
2DA5816578795BE004AD5D4190276A7F
CE161ED698C71AD9BEBB737F301B2B89
86A2CF6525C30C9D39CD6A4B0F67670B
8e35c04988a1ff196a12624139918f94
F667BF120D5760845FCDD2F02254EFF4
A9106A7C36418B9E4A19D0C7CC654E46
C26E3C33D2F3A5A13282EEE6E764BD79
9D8C438B710B314B2DC2E003B2F177B7
https[:]//drive.google.com/uc?export=download&id=1Ovbe1se3Rh9WH1LYT1ob1ngpdtjJW1yF&confirm=t
https[:]//drive.google.com/uc?export=download&id=1wKzc_xz_qdqDWnIrCl3KmMpXFFKaEsG8&confirm=t
https[:]//drive.google.com/uc?export=download&id=1GUfzCH1FsSSQZ_Xf8HwOLgqhsygBTnK9&confirm=t
https[:]//drive.google.com/uc?export=download&id=1fJt46ezrFwAKDAM-Mn64_ped54hvjIaO&confirm=t
[1] https://asec.ahnlab.com/en/31089/
360高级威胁研究院
微信扫一扫
关注该公众号
IoC
29652A5599AAB8088D8BFD453471FEFD
2DA5816578795BE004AD5D4190276A7F
81424820BDF139B1FE3DE3FAA4E98AE6
86A2CF6525C30C9D39CD6A4B0F67670B
8e35c04988a1ff196a12624139918f94
9D8C438B710B314B2DC2E003B2F177B7
9E2D09F47CC48DD3E84205376A8F9ECB
A9106A7C36418B9E4A19D0C7CC654E46
C26E3C33D2F3A5A13282EEE6E764BD79
C63336057F756C711C594E8B59B0265F
CE161ED698C71AD9BEBB737F301B2B89
F667BF120D5760845FCDD2F02254EFF4
https://drive.google.com/uc?export=download&id=1GUfzCH1FsSSQZ_Xf8HwOLgqhsygBTnK9&confirm=t
https://drive.google.com/uc?export=download&id=1Ovbe1se3Rh9WH1LYT1ob1ngpdtjJW1yF&confirm=t
https://drive.google.com/uc?export=download&id=1fJt46ezrFwAKDAM-Mn64_ped54hvjIaO&confirm=t
https://drive.google.com/uc?export=download&id=1wKzc_xz_qdqDWnIrCl3KmMpXFFKaEsG8&confirm=t
2DA5816578795BE004AD5D4190276A7F
81424820BDF139B1FE3DE3FAA4E98AE6
86A2CF6525C30C9D39CD6A4B0F67670B
8e35c04988a1ff196a12624139918f94
9D8C438B710B314B2DC2E003B2F177B7
9E2D09F47CC48DD3E84205376A8F9ECB
A9106A7C36418B9E4A19D0C7CC654E46
C26E3C33D2F3A5A13282EEE6E764BD79
C63336057F756C711C594E8B59B0265F
CE161ED698C71AD9BEBB737F301B2B89
F667BF120D5760845FCDD2F02254EFF4
https://drive.google.com/uc?export=download&id=1GUfzCH1FsSSQZ_Xf8HwOLgqhsygBTnK9&confirm=t
https://drive.google.com/uc?export=download&id=1Ovbe1se3Rh9WH1LYT1ob1ngpdtjJW1yF&confirm=t
https://drive.google.com/uc?export=download&id=1fJt46ezrFwAKDAM-Mn64_ped54hvjIaO&confirm=t
https://drive.google.com/uc?export=download&id=1wKzc_xz_qdqDWnIrCl3KmMpXFFKaEsG8&confirm=t