lazarusholic

Everyday is lazarus.dayβ

APT-C-55(Kimsuky)组织在RandomQuery活动中投递开源RAT的攻击活动分析

2024-06-12, Qihoo360
https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247498735&idx=1&sn=a0f713dddc2c2c69beca6137980dd27e
#APT-C-55 #XenoRAT #RandomQuery

Contents

APT-C-55(Kimsuky)组织,也被称为Mystery
Baby、Baby Coin、Smoke Screen、BabyShark、Cobra Venom等多个别名,最早由Kaspersky在2013年公开披露。长期以来,该组织专注于对韩国的智囊团、政府外交部门、新闻媒体和教育学术机构等进行网络攻击。在过去几年中,Kimsuky的攻击范围已经扩大,目标包括美国、俄罗斯和欧洲等国家。其主要目的是进行情报窃取等网络攻击活动,以获取关键的政治和军事情报。
在最近对 Kimsuky 组织的基础网络架构进行的深入监控与分析过程中,360高级威胁研究院成功捕获并详尽地分析了关于名为RandomQuery的攻击活动及其相关的信息窃取组件,而且还揭示了 Kimsuky 组织在其攻击行动中对开源RAT恶意组件的采用。这一次的攻击活动深化了我们对RandomQuery攻击模式的理解,并揭示了 Kimsuky组织攻击策略的进一步细节,这对于我们预防和应对未来可能的威胁至关重要。
一、攻击活动分析
1.攻击流程分析
攻击者通过伪装的电子邮件进行攻击,将恶意HTML脚本文件作为附件添加到邮件中以传播这些文件,随后释放恶意LNK文件和诱饵文件。这些诱饵文档被巧妙伪装成看似正常的内容,通常与报酬支付等事务相关。最终,攻击者利用这些脚本文件来部署开源的远程访问木马(RAT)组件,从而实现对相关信息的进一步窃取。这种手法不仅隐蔽,而且能有效地诱导目标用户打开附件,从而达到攻击者的恶意目的。
图 1 攻击流程图
2.攻击组件分析
当用户执行恶意脚本后,会访问攻击者控制的服务器下载下一阶段脚本。攻击者巧妙地在其服务器上部署了特定的PHP文件,这些文件被设计成能够根据访问它们的URL后缀来投递不同的脚本文件。这种方法展示了攻击者在定制化攻击策略方面的高度精细化和技术灵活性。通过这种技术,攻击者能够根据访问者的不同特征或需求,动态地提供特定的恶意脚本。这不仅增加了攻击的隐蔽性,还提高了针对性,使得攻击更加难以被标准安全措施所检测。这种策略进一步凸显了现代网络攻击的复杂性和对高级防御策略的迫切需求。
在我们之前披露的RandomQuery攻击事件中,我们对该攻击中使用的一些恶意组件进行了详细分析。在本次的相关攻击活动中,虽然所使用的恶意组件在功能上基本与之前的相一致,但我们发现仍有若干组件具有独特之处,值得进一步深入分析。这些组件包含新的或改进的功能,对理解攻击者的策略和技术手段有着重要意义。
具体来说,该组件在被下载之后,首先通过AES算法进行解密处理。它的核心功能是从C2下载载荷,并对这些载荷进行解压缩以提取出可执行程序。随后,该组件会仔细遍历程序中的所有类型和方法,寻找一个特定的方法,并将C2服务器的地址作为参数传递给这个方法。这个过程完成后,组件最终调用程序的Main方法来执行后续载荷。
在我们的最新调查中,我们发现攻击者采用了两种开源的远程访问木马(RAT)组件作为后续载荷,它们分别是TutRAT和xeno-rat。这两种工具均具备强大的功能,能够在被攻击的系统上执行远程控制和数据窃取等恶意活动。特别值得注意的是,xeno-rat是在2023年10月才由其作者开源的。这表明攻击者不仅具备高度的技术能力,还持续关注并迅速采用最新的网络攻击工具和策略。他们的这种能力使得他们能够利用最新的技术漏洞和工具,从而提高了攻击的有效性和隐蔽性。
图 4 XenoRat提交记录
在TutRAT方面,攻击者在开源代码的基础上增加了通过计划任务执行脚本的模块,通过它来解码Base64编码的数据,并将两个脚本client.ps1和version103.vbs保存在模板文件夹目录,并通过计划任务或wscript.exe执行。
图 5 TutRAT的makeprobe0函数
图 6 TutRAT的makeprobe1函数
在TutRAT和xeno-rat的实现中,攻击者引入了setServerIp函数。此功能的添加确保了样本能够在外部动态指定命令和控制(C2)服务器的地址。通过这种方式,攻击者能够灵活地配置和更新其通信基础设施,从而为其恶意活动提供更高程度的适应性和隐蔽性。
图 7 setServerIp函数
二、归属研判
根据公开的威胁情报资料,我们分析发现,这一次截获的恶意样本具有与Kimsuky组织进行的RandomQuery攻击行动中所描述的样本特性高度一致。此外,整个攻击链条、所涉及的攻击组件以及使用的诱饵文档均在先前的情报报告中有所记录[1]。基于这些相似性,我们得出结论:本次攻击行动及其所采用的开源 RAT组件,是由 Kimsuky 组织所策划和实施的。
三、防范排查建议
- 提高意识教育:对员工进行安全意识培训,教育他们识别钓鱼邮件的常见迹象,例如检查发件人地址、邮件内容的准确性和专业性,以及避免点击未经验证的链接或下载未知附件。
- 邮件安全筛查:部署高效的邮件过滤和安全扫描工具,以识别并隔离含有恶意附件或链接的邮件。
- 禁用或限制未知来源的执行文件:在系统中实施策略,禁止或限制执行来自未知来源或不可信的执行文件,特别是邮件附件中的LNK文件。
- 定期系统扫描:使用360安全卫士定期检查系统,以发现和移除恶意软件。
- 监控系统活动:监控系统的异常活动,如未知进程的启动,或不寻常的网络流量,这可能是恶意脚本执行的迹象。
- 备份重要数据:定期备份重要文件和数据,以防万一需要恢复。
- RAR文件安全检查:对于RAR文件,特别是来自外部邮件的,应进行安全检查和扫描,以确保其内容安全。
- 应急响应计划:制定并实施应急响应计划,以便在发现攻击时迅速采取行动。
329D79E4274292A3E01031B70AEE9D48
D19253D84C6CB8FB6064E6D33BED556F
5954AA40E39EE2BFB9E37D183D4A97AA
A9E22A26B8358B7B34D327032803BBBB
445BC31261E2A8C59094674F2A6CEC04
583D281651C98CB04B6ED8F059F97DCC
337D16C94CC0C568643A7085CF6E5EA2
19E1C76A08D3FD24FF1C72DA32E7FDAF
B9898E8E5B6494BCC219462C6BE7C248
0040F03FAF5BBDC555F2039A4E33A82B
329D79E4274292A3E01031B70AEE9D48
D19253D84C6CB8FB6064E6D33BED556F
E[:]\horse\work\virus\source\rat\c#\trurat\0206_backup\C-Sharp-R.A.T-Client-master\C-Sharp-R.A.T-Client-master\TutClient\obj\Debug\TutClient.pdb
[1]https://asec.ahnlab.com/ko/58818/
[2]https://github.com/moom825/xeno-rat
[3]https://github.com/AdvancedHacker101/C-Sharp-R.A.T-Client
360高级威胁研究院360高级威胁研究院是360数字安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。

IoC

0040F03FAF5BBDC555F2039A4E33A82B
19E1C76A08D3FD24FF1C72DA32E7FDAF
329D79E4274292A3E01031B70AEE9D48
337D16C94CC0C568643A7085CF6E5EA2
445BC31261E2A8C59094674F2A6CEC04
583D281651C98CB04B6ED8F059F97DCC
5954AA40E39EE2BFB9E37D183D4A97AA
A9E22A26B8358B7B34D327032803BBBB
B9898E8E5B6494BCC219462C6BE7C248
D19253D84C6CB8FB6064E6D33BED556F