Kimsuky APT组织使用新型的AppleSeed Android组件伪装成安全软件对韩特定目标进行攻击
Contents
Kimsuky APT组织使用新型的AppleSeed Android组件伪装成安全软件对韩特定目标进行攻击 本文一共 2922 字, 36 张图 预计阅读时间 13 分钟 封面 源自blog.alyac.co.kr/3536 一.前言:
kimsuky APT组织(又名
Mystery Baby, Baby Coin, Smoke Screen, BabyShark, Cobra Venom) ,该组织一直针对于韩国的智囊团,政府组织,新闻组织,大学教授等等进行活动.并且该组织拥有
windows平台的攻击能力,载荷便捷,阶段繁多。并且该组织十分活跃.其载荷有
带有漏洞的hwp文件,携带恶意宏文档,释放dll载荷的PE文件,远程模板注入技术docx文档,恶意的wsf以及js的脚本文件等
近日,
Gcow安全团队
追影小组在日常的文件监控中发现该组织正在积极的使用 分阶段的恶意宏文档, 恶意的wsf以及js文件释放并加载载荷同时释放并打开相关的诱饵文档以迷惑受害者以及 部分模板注入技术的相关样本。同时我们也发现了其使用 冒充KISA(Korea Internet & Security Agency)的官方安卓端安全检查软件针对特定目标进行钓鱼的活动, 同时根据我们的分析发现其APK载荷与该组织之前一直在使用的AppleSeed(又名AutoUpdate)组件有很强的关联性, 所以我们猜测该APK属于AppleSeed组件集下的Android攻击载荷。
故此我们判断该组织已经具有了
Windows,
MacOs,
Android的攻击能力,并且将在未来的一段时期持续的活跃。
二.样本分析:
该恶意APP伪装成KISA的安卓端安全检查软件
图1 图标伪造KISA的安卓端安全软件
运行之后申请相关的权限,弹出界面以迷惑受害者:
图2 弹出相关的页面以迷惑受害人 在
LaunchActivity
的
onCreate
方法中,启动了
MainService
服务。 图3 启动MainService服务 MainService 中,字符串经过了加密,对关键字符串解密后,可得到上传数据的 url
解密代码如下
public static void decrypt ( String arg10 ) { String v0_2 ; int v5 ; try { int v0 = arg10 . length (); int v1 = v0 / 2 ; byte [] v2 = new byte [ v1 ]; int v3 = 0 ; int v4 ; for ( v4 = 0 ; true ; v4 += 2 ) { v5 = 16 ; if ( v4 >= v0 ) { break ; } v2 [ v4 / 2 ] = (( byte )(( Character . digit ( arg10 . charAt ( v4 ), v5 ) << 4 ) + Character . digit ( arg10 . charAt ( …
kimsuky APT组织(又名
Mystery Baby, Baby Coin, Smoke Screen, BabyShark, Cobra Venom) ,该组织一直针对于韩国的智囊团,政府组织,新闻组织,大学教授等等进行活动.并且该组织拥有
windows平台的攻击能力,载荷便捷,阶段繁多。并且该组织十分活跃.其载荷有
带有漏洞的hwp文件,携带恶意宏文档,释放dll载荷的PE文件,远程模板注入技术docx文档,恶意的wsf以及js的脚本文件等
近日,
Gcow安全团队
追影小组在日常的文件监控中发现该组织正在积极的使用 分阶段的恶意宏文档, 恶意的wsf以及js文件释放并加载载荷同时释放并打开相关的诱饵文档以迷惑受害者以及 部分模板注入技术的相关样本。同时我们也发现了其使用 冒充KISA(Korea Internet & Security Agency)的官方安卓端安全检查软件针对特定目标进行钓鱼的活动, 同时根据我们的分析发现其APK载荷与该组织之前一直在使用的AppleSeed(又名AutoUpdate)组件有很强的关联性, 所以我们猜测该APK属于AppleSeed组件集下的Android攻击载荷。
故此我们判断该组织已经具有了
Windows,
MacOs,
Android的攻击能力,并且将在未来的一段时期持续的活跃。
二.样本分析:
该恶意APP伪装成KISA的安卓端安全检查软件
图1 图标伪造KISA的安卓端安全软件
运行之后申请相关的权限,弹出界面以迷惑受害者:
图2 弹出相关的页面以迷惑受害人 在
LaunchActivity
的
onCreate
方法中,启动了
MainService
服务。 图3 启动MainService服务 MainService 中,字符串经过了加密,对关键字符串解密后,可得到上传数据的 url
解密代码如下
public static void decrypt ( String arg10 ) { String v0_2 ; int v5 ; try { int v0 = arg10 . length (); int v1 = v0 / 2 ; byte [] v2 = new byte [ v1 ]; int v3 = 0 ; int v4 ; for ( v4 = 0 ; true ; v4 += 2 ) { v5 = 16 ; if ( v4 >= v0 ) { break ; } v2 [ v4 / 2 ] = (( byte )(( Character . digit ( arg10 . charAt ( v4 ), v5 ) << 4 ) + Character . digit ( arg10 . charAt ( …
IoC
14B95DC99E797C6C717BF68440EAE720
3A4AB11B25961BECECE1C358029BA611
4626ED60DFC8DEAF75477BC06BD39BE7
80A2BB7884B8BAD4A8E83C2CB03EE343
A03598CD616F86998DAEF034D6BE2EC5
http://download.riseknite.life/index.php
3A4AB11B25961BECECE1C358029BA611
4626ED60DFC8DEAF75477BC06BD39BE7
80A2BB7884B8BAD4A8E83C2CB03EE343
A03598CD616F86998DAEF034D6BE2EC5
http://download.riseknite.life/index.php