Kimsuky组织利用Dropbox云端实施行动分析
Contents
Kimsuky疑似是位于朝鲜半岛地区的威胁组织,国外研究人员发现了该组织针对韩国军事智库的大规模网络间谍活动,并引用恶意代码中词语“Kimsuky”对其命名。Kimsuky APT组织作为一个十分活跃的APT组织,其针对南韩的活动次数也愈来愈多,主要针对韩国政府机构、世宗研究所、韩国外交部门、韩国国防分析研究所(KIDA)、韩国统一部、北朝鲜相关研究领域,同时该组织不断的使用hwp文件、Lnk文件、可执行文件,恶意宏文档的方式对目标进行相应的攻击。该组织与有相同背景的Lazarus组织和Konni组织有一定的相似之处,且与ScarCruft(Group123)组织存在部分基础设施重叠的现象。
在本次事件中,攻击者向目标发送伪装成PDF的恶意LNK文件用于下载后续载荷,该文件名称“트레이딩 스파르타코스 강의안-100불남(2차)”翻译为“交易斯巴达克斯讲稿-100美元(第二期)”,疑似攻击目标为数字货币/金融领域相关人士。
在同时期我们还观察到其它的可疑文件如下表,该系列文件涉及政府、外交、媒体、数字货币金融等方向。
hash
名称
翻译
dce864eabfbd6445682a4671a2fee1a9
KBS사례비지급서식(윤영관 장관님).docx.lnk
KBS酬金支付表(尹永宽部长)
3e3013fe03f7416b8d1e96591f8e5839
11c.hwpx.lnk
/
32519b46b55792084240f850e0c94298
20231215_하우투트레이드 강사 100불남자 AS강의안내자료.hwp.lnk
20231215_如何交易导师100美元人AS讲座指南.hwp.lnk
9fa12b629ca431ebc3aa56da2d7a784a
231025 (통일부 통일정책실)윤석열 정부의 대북 정책 관련 1.5트랙 전문가 간담회(비공개) 기획안.lnk
231025(统一部统一政策室)尹锡烈政府朝鲜政策计划相关1.5轨专家会议(私人).lnk
本次事件中投递的恶意LNK文件之一详细信息描述如下表。
描述
详细信息
名称
트레이딩 스파르타코스 강의안-100불남(2차)________________________________________________________________.pdf.lnk
文件大小
1104286 bytes
文件类型
lnk
文件功能
Downloader
编译时间
/
开发平台及语言
Windows/lnk
是否加壳
/
VT首次上传时间
/
pdb
/
md5
fcdcc6c56ae43f7a78413cc5204e9314
Sha256
befa4094eb7ceb31be76ec98b11353b296b57476fe1b69db916e02bc8efce7d7
该lnk文件通过powershell命令下载执行后续载荷,其使用多个空格作为命令头部,当用户查看Lnk文件时并不会出现可疑命令字符,以此减少用户发现恶意行为的风险。
该lnk命令首先通过dropbox下载第二阶段载荷“ps.bin”并执行。
在该被注释的脚本语句中,我们观察到其似乎曾使用过“clientx64.bin”的远程控制组件。
通过关联分析,找到了疑似与该注释相关的同批攻击活动样本“http://122.155.191.33/temp/clientx64.bin”,最后确认“clientx64.bin”为“xeno-rat”开源远控,其开源地址为“https://github.com/moom825/xeno-rat”,但该组件最后似乎并未在实际攻击活动中使用。
在本次事件中,“ps.bin”载荷下载后续载荷“r_enc.bin”并调用执行。
其内存加载的r_enc.bin文件提取后的文件经过分析为Tutclient远控组件,其详细信息如下表。
描述
详细信息
名称
r_enc.bin
文件大小
57344 bytes
文件类型
exe
文件功能
rat
编译时间
2023:10:05 19:30:35+08:00
开发平台及语言
windows/.net
是否加壳
/
VT首次上传时间
/
pdb
E:\horse\work\virus\source\rat\c#\trurat\0206_backup\C-Sharp-R.A.T-Client-master\C-Sharp-R.A.T-Client-master\TutClient\obj\Debug\TutClient.pdb
md5
0040f03faf5bbdc555f2039a4e33a82b
Sha256
617a4a83e7fb10a4a9ef993cdfe4d83946f0d71d50c8cbd418513d9d40e7df74
其调用了Tutclient远控组件的“makeProbe1”方法解密传入的base64数据并将其写入“%APPDATA%\\Microsoft\\Windows\\Templates\\version103.vbs”,删除任务计划“upDate_chrome”并执行该vbs文件。
其释放的version103.vbs从dropbox下载另一阶段载荷“info_sc.txt”文件并执行。
“info_sc.txt”文件首先会从“https://hyojadong.kr/js/slick/doc/1.pdf”下载pdf诱饵文件并释放于“%temp%\트레이딩_스파르타코스_강의안_100불남_2차.pdf”
释放的诱饵文件如下,涉及数字货币交易方法指导。
接着其检查当前操作系统是否为windows10以上,当不是win10以上时通过Reserve将恶意执行语句(调用IE浏览器打开恶意链接“http://gbionet.com/ /inc/basl/up1/list.php?query=6”获取下一阶段载荷)保存于“%appdata% \\Microsoft\\Windows\\Themes\w{second}{hour}{day}{month}”格式的文件中,并创建任务计划执行该恶意文件。
释放的类似文件如下图,当前该浏览器链接无法打开不能获取下一阶段内容。
当系统在win10及以上时,其首先会创建多个ps文件及ini文件,用于后续保存载荷。
释放的类似文件如下图。
接着从dropbox下载后续载荷“info_ps.bin”
创建任务计划“Security Script”执行恶意载荷。
下载的后续载荷“info_ps.bin”为powershell脚本,其主要功能为收集当前机器的基础信息、部分目录文件信息等。
将收集的信息通过API上传到dropbox云端。
在本次事件中,攻击者向目标发送伪装成PDF的恶意LNK文件用于下载后续载荷,该文件名称“트레이딩 스파르타코스 강의안-100불남(2차)”翻译为“交易斯巴达克斯讲稿-100美元(第二期)”,疑似攻击目标为数字货币/金融领域相关人士。
在同时期我们还观察到其它的可疑文件如下表,该系列文件涉及政府、外交、媒体、数字货币金融等方向。
hash
名称
翻译
dce864eabfbd6445682a4671a2fee1a9
KBS사례비지급서식(윤영관 장관님).docx.lnk
KBS酬金支付表(尹永宽部长)
3e3013fe03f7416b8d1e96591f8e5839
11c.hwpx.lnk
/
32519b46b55792084240f850e0c94298
20231215_하우투트레이드 강사 100불남자 AS강의안내자료.hwp.lnk
20231215_如何交易导师100美元人AS讲座指南.hwp.lnk
9fa12b629ca431ebc3aa56da2d7a784a
231025 (통일부 통일정책실)윤석열 정부의 대북 정책 관련 1.5트랙 전문가 간담회(비공개) 기획안.lnk
231025(统一部统一政策室)尹锡烈政府朝鲜政策计划相关1.5轨专家会议(私人).lnk
本次事件中投递的恶意LNK文件之一详细信息描述如下表。
描述
详细信息
名称
트레이딩 스파르타코스 강의안-100불남(2차)________________________________________________________________.pdf.lnk
文件大小
1104286 bytes
文件类型
lnk
文件功能
Downloader
编译时间
/
开发平台及语言
Windows/lnk
是否加壳
/
VT首次上传时间
/
pdb
/
md5
fcdcc6c56ae43f7a78413cc5204e9314
Sha256
befa4094eb7ceb31be76ec98b11353b296b57476fe1b69db916e02bc8efce7d7
该lnk文件通过powershell命令下载执行后续载荷,其使用多个空格作为命令头部,当用户查看Lnk文件时并不会出现可疑命令字符,以此减少用户发现恶意行为的风险。
该lnk命令首先通过dropbox下载第二阶段载荷“ps.bin”并执行。
在该被注释的脚本语句中,我们观察到其似乎曾使用过“clientx64.bin”的远程控制组件。
通过关联分析,找到了疑似与该注释相关的同批攻击活动样本“http://122.155.191.33/temp/clientx64.bin”,最后确认“clientx64.bin”为“xeno-rat”开源远控,其开源地址为“https://github.com/moom825/xeno-rat”,但该组件最后似乎并未在实际攻击活动中使用。
在本次事件中,“ps.bin”载荷下载后续载荷“r_enc.bin”并调用执行。
其内存加载的r_enc.bin文件提取后的文件经过分析为Tutclient远控组件,其详细信息如下表。
描述
详细信息
名称
r_enc.bin
文件大小
57344 bytes
文件类型
exe
文件功能
rat
编译时间
2023:10:05 19:30:35+08:00
开发平台及语言
windows/.net
是否加壳
/
VT首次上传时间
/
pdb
E:\horse\work\virus\source\rat\c#\trurat\0206_backup\C-Sharp-R.A.T-Client-master\C-Sharp-R.A.T-Client-master\TutClient\obj\Debug\TutClient.pdb
md5
0040f03faf5bbdc555f2039a4e33a82b
Sha256
617a4a83e7fb10a4a9ef993cdfe4d83946f0d71d50c8cbd418513d9d40e7df74
其调用了Tutclient远控组件的“makeProbe1”方法解密传入的base64数据并将其写入“%APPDATA%\\Microsoft\\Windows\\Templates\\version103.vbs”,删除任务计划“upDate_chrome”并执行该vbs文件。
其释放的version103.vbs从dropbox下载另一阶段载荷“info_sc.txt”文件并执行。
“info_sc.txt”文件首先会从“https://hyojadong.kr/js/slick/doc/1.pdf”下载pdf诱饵文件并释放于“%temp%\트레이딩_스파르타코스_강의안_100불남_2차.pdf”
释放的诱饵文件如下,涉及数字货币交易方法指导。
接着其检查当前操作系统是否为windows10以上,当不是win10以上时通过Reserve将恶意执行语句(调用IE浏览器打开恶意链接“http://gbionet.com/ /inc/basl/up1/list.php?query=6”获取下一阶段载荷)保存于“%appdata% \\Microsoft\\Windows\\Themes\w{second}{hour}{day}{month}”格式的文件中,并创建任务计划执行该恶意文件。
释放的类似文件如下图,当前该浏览器链接无法打开不能获取下一阶段内容。
当系统在win10及以上时,其首先会创建多个ps文件及ini文件,用于后续保存载荷。
释放的类似文件如下图。
接着从dropbox下载后续载荷“info_ps.bin”
创建任务计划“Security Script”执行恶意载荷。
下载的后续载荷“info_ps.bin”为powershell脚本,其主要功能为收集当前机器的基础信息、部分目录文件信息等。
将收集的信息通过API上传到dropbox云端。
IoC
0040f03faf5bbdc555f2039a4e33a82b
122.155.191.33
32519b46b55792084240f850e0c94298
3e3013fe03f7416b8d1e96591f8e5839
617a4a83e7fb10a4a9ef993cdfe4d83946f0d71d50c8cbd418513d9d40e7df74
9fa12b629ca431ebc3aa56da2d7a784a
befa4094eb7ceb31be76ec98b11353b296b57476fe1b69db916e02bc8efce7d7
dce864eabfbd6445682a4671a2fee1a9
fcdcc6c56ae43f7a78413cc5204e9314
http://122.155.191.33/temp/clientx64.bin
http://gbionet.com/ /inc/basl/up1/list.php?query=6
https://hyojadong.kr/js/slick/doc/1.pdf
122.155.191.33
32519b46b55792084240f850e0c94298
3e3013fe03f7416b8d1e96591f8e5839
617a4a83e7fb10a4a9ef993cdfe4d83946f0d71d50c8cbd418513d9d40e7df74
9fa12b629ca431ebc3aa56da2d7a784a
befa4094eb7ceb31be76ec98b11353b296b57476fe1b69db916e02bc8efce7d7
dce864eabfbd6445682a4671a2fee1a9
fcdcc6c56ae43f7a78413cc5204e9314
http://122.155.191.33/temp/clientx64.bin
http://gbionet.com/ /inc/basl/up1/list.php?query=6
https://hyojadong.kr/js/slick/doc/1.pdf