官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
一、概述
KONNI APT组织是疑似由特定政府支持的黑客组织,该组织长期针对俄罗斯、韩国等地区进行定向攻击活动,其擅长使用社会热点话题对目标进行鱼叉式网络钓鱼攻击。
微步情报局近期通过威胁狩猎系统监测到KONNI组织借助“COVID-19疫苗接种”主题对俄罗斯方向的定向攻击活动,分析有如下发现:
- 攻击者向目标发送“疫苗接种预约”相关诱饵文档,并附带木马模块,根据相关诱饵文件内容,研判攻击目标为俄罗斯方向相关团体;
- 木马使用dll劫持的方法借助相关安装包程序、PDF阅读器执行,后续加载执行的恶意模块与该组织以往攻击活动中所使用的样本高度一致;
- 与该组织以往攻击活动不同的是,在本次攻击活动中,攻击者并没有使用宏文档进行攻击,而是将木马模块与正常程序打包在一起进行dll劫持攻击;
- 微步在线通过对相关样本、IP 和域名的溯源分析,提取多条相关 IOC ,可用于威胁情报检测。微步在线威胁感知平台 TDP 、本地威胁情报管理平台 TIP 、威胁情报云 API 、互联网安全接入服务 OneDNS 、主机威胁检测与响应平台 OneEDR 、威胁捕捉与诱骗系统 HFish 蜜罐等均已支持对此次攻击事件和团伙的检测。
二、详情
攻击者向目标发送以“疫苗接种预约”为主题的诱饵文档压缩包,其中包含木马模块,相关文档均以俄文编辑,部分诱饵文档截图如下。
|
|
|
|
图[1] 部分诱饵文档截图
相关诱饵文件列表:
文件名称 | 文件说明 |
20_10_2021_01_6101_21____________________________.pdf | 疫苗相关说明pdf文档,无毒 |
0001202110250033.pdf | 疫苗相关说明pdf文档,无毒 |
BMP-13.pdf | 疫苗相关说明pdf文档,无毒 |
МР по вакцинации.docx | MR 疫苗接种.pdf,无毒 |
огласие на обработку персональных данных.pdf | 同意处理个人数据.pdf,无毒 |
ПРОГРАММА ДЛЯ РЕГИСТРАЦИИ ПРИВИТЫХ В ФЕДЕРАЛЬНОМ РЕГИСТРЕ ВАКЦИНИРОВАННЫХ.exe | 在联邦疫苗接种登记处登记接种疫苗的计划.exe(木马) |
урнал о ревакцинированных от ковид за рубежом.docx | 关于在国外接种疫苗的杂志.docx,无毒 |
урнал о вакцинированных от ковид за рубежом.docx | 关于在国外接种疫苗的杂志.docx,无毒 |
MEGAVIEW.EXE | PDF阅读器(木马) |
攻击者制作SFX自解压可执行程序,将相关程序和木马dll模块重新打包,利用dll劫持执行携带的木马。
图[2] 安装包执行后的显示界面
此外还使用类似的手法,对福昕阅读器(foxit)进行打包,执行恶意模块。
图[3] PDF阅读器执行后的显示界面
三、样本分析
3.1伪装疫苗接种计划登记的恶意安装包样本
该样本为自解压可执行文件,包含程序buchgal.exe和木马模块buchgal.dll。
图[4] 伪装成安装包的SFX自解压可执行文件
buchgal.exe应为正常的安装包程序。
图[5] 正常的安装包程序
而buchgal.dll为dll劫持的木马文件,执行之后检查目标主机架构,根据对应类型进行后续下载。
图[6] 检查目标主机系统架构
之后使用WinInet相关函数从服务器下载恶意载荷, 成功下载后保存为临时文件,分析该样本时已经无法正常下载。
URL:victory-2020.atwebpages.com/index.php?user_id=45678&type={0或1,表示x86或x64}
图[7] 从服务器下载恶意载荷
在Temp目录生成一个tamp.bat文件,写入经Base64解码的内容,并执行起来。该bat的功能为循环判断a.log文件是否存在,如果存在的话也就是下面的expand指令成功执行,则删除a.log文件,并执行install.bat,最后删除自身。
@echo off cd /d %TEMP% :WAITING timeout /t 1 if not exist "a.log" (goto WAITING) del /f /q "a.log" install.bat del /f /q "%~dpnx0" |
图[8] 生成并执行temp.bat
最后调用expand指令,将下载的压缩包解压,删除压缩包,输出echo OK到a.log文件,压缩后的文件将由上面的bat文件执行。
图[9] 调用expand命令解压下载的文件包
3.2伪装PDF阅读器的样本
与上述样本类似,攻击者向目标投递PDF阅读器程序,实际为SFX自解压可执行文件,包内文件包含阅读器程序foxit.exe和木马模块foxit.dll。
图[10] 伪装为PDF阅读器的SFX自解压可执行文件
同样使用dll劫持的方法加载木马foxit.dll,exe为福昕阅读器(foxit)相关模块。
图[11] 捆绑的正常PDF阅读器程序
木马模块与上述样本流程基本一致,同样从服务器下载执行下阶段恶意载荷。
URL:online-manual.c1.biz/index.php?user_id=765&type=%d
图[12] 从服务器下载恶意载荷并调用expand命令解压
四、关联分析
KONNI APT组织长期针对俄罗斯方向相关机构进行定向攻击活动,在以往攻击活动中经常使用诱饵宏文档进行攻击,而在本次攻击活动中,可以看到该组织使用dll劫持的方法试图向目标投递诱饵文档。
与以往攻击活动类似的是,木马依然会从服务器下载压缩包文件,并使用expand指令进行解压,以执行后续恶意载荷。
图[13] 以往攻击活动中使用的expand命令
图[14] 本次攻击活动中使用的expand命令
以及使用同样的URL指令格式,攻击者疑似使用user_id标注目标编号,且通常根据目标操作系统分别下载对应版本木马。
图[15] 以往攻击活动中使用的URL格式
图[16] 本次攻击活动中使用的URL格式
五、结论
俄罗斯方向相关团体一直是KONNI组织的长期攻击目标之一,在以往攻击活动中,该组织经常使用诱饵宏文档进行鱼叉钓鱼攻击,而在本次攻击活动中,攻击者不再使用宏文档,而是将木马与正常程序打包在一起进行dll劫持攻击,微步情报局会对相关攻击活动持续进行跟踪,及时发现安全威胁并快速响应处置。
附录 - IOC
C2
victory-2020.atwebpages.com
online-manual.c1.biz
URL
victory-2020.atwebpages.com/index.php?user_id=45678&type={0或1}
online-manual.c1.biz/index.php?user_id=765&type={0或1}
Hash
001f329a99a84175ebadb671170482baeef0338807e93f399825381e58807f37
656c94976409871394f4de3b0e908685b822b239c2c21eebb1257e9078aa662c
1ce18f816875dae22ff0e038c9792d28ea649f119428a6b7e5af47e080f1dddd
02d98edda8e61d776bac500c2a96478a862bc5e46d1332168f259208682ca555
92656ad7e6d236a890167ef158364dec432e82cef7ec21f214191a535e405b07
4eab29bacca61c90252498bc971af783316e237d021728796d8fd0d236dcc960
附录-参考链接
https://www.anquanke.com/post/id/230116
https://blog.malwarebytes.com/threat-intelligence/2021/08/new-variant-of-konni-malware-used-in-campaign-targetting-russia/
https://blog.alyac.co.kr/2474
- 0 文章数
- 0 关注者