概述
Konni是2017年思科Talos团队披露的一类远控木马,其在2014年便开始活跃,主要在针对俄罗斯、韩国等地区的攻击活动中使用。之后Palo Alto的研究团队发现该家族木马与Nokki存在大量重叠,并疑似与东亚APT组织APT37存在关联。自2019年起,国外安全研究员便将Konni作为疑似具有东亚背景的APT组织进行报告和披露,奇安信红雨滴团队沿用该设定,并于2019年12月,披露了Konni组织在移动端的攻击活动【1】。
近期,红雨滴团队在日常的威胁狩猎中捕获了多例该组织的攻击样本:包括韩国文字处理软件HWP类型的样本以及Office Word宏利用样本。此类样本采用热点新闻为诱饵,如核问题相关信息、COVID-19相关信息等,诱导受害者执行其恶意文档,并通过宏等手段释放执行恶意程序,控制受害者计算机,窃取敏感信息。
奇安信威胁情报中心在发现此次攻击活动的第一时间便向安全社区进行了预警。
样本分析
样本信息
捕获的样本包括Word宏利用样本以及HWP文档。宏利用样本主要以核问题、网络安全、朝韩关系、疫情等热点政治时事话题为诱饵,部分样本信息如下。
文件名 |
MD5 |
修改者 |
CISAC Discussions on Cyber and Nuclear Issues_May 13 2020_v4_ENG.doc |
d41b09aa32633d77a8856dae33b3d7b9 |
Ksenia |
|
37e713cf3dfe846aa9cbcc5cd09b92bd |
pakds |
North Korea-South Korea Relations.doc |
6973fa7aed812980f0539302d64e618f |
PILOT |
О влиянии санкций на ситуацию в КНДР.doc |
cfa6d0d59624b961edadc04f5dae5777 |
PILOT |
执行后诱饵内容如下
而HWP类型恶意文档则多以个人信息,绩效总结等为诱饵,相关信息如下
文件名 |
MD5 |
네이버블로그 소송건.hwp |
e9812302ce7e9ca5d42cfd4406a34494 |
선정평가 문의내용.hwp |
f05495a825e932c841f4d7f4e438ce0b |
|
16b19998f8bdbaecf07b2556fcbd8d68 |
执行后展示的诱饵信息如下
宏样本分析
文件名 |
CISAC Discussions on Cyber and Nuclear Issues_May 13 2020_v4_ENG.doc |
MD5 |
d41b09aa32633d77a8856dae33b3d7b9 |
此次捕获的宏样本与之前的Konni的攻击样本代码基本,以d41b09aa32633d77a8856dae33b3d7b9为例,样本以斯坦福国际安全合作中心(CISAC)关于网络和核问题相关信息为诱饵,当受害者打开文档,仅显示模糊的内容以此诱导受害者启用宏:
宏代码具有密码保护,无法直接查看。
使用奇安信威胁情报中心自研文件深度解析引擎OWL解析宏代码如下:
恶意宏代码主要功能为将硬编码PE文件数据写入到% USERPROFILE%\zx.exe,并以加密的URL为参数执行zx.exe,之后将文档诱饵字体设置为黑色,显示正常内容,迷惑受害者:
诱饵展示的的内容为斯坦福国际安全合作中心(CISAC)关于网络对核问题的影响探究等:
文件名 |
zx.exe |
MD5 |
478D643AFC 47ABEA4ACB6BEA422F14F1 |
该样本属于Downloader,运行后,解密参数,再判断系统位数,根据操作系统位数选择对应的路径,与解密后的参数URL组成后续下载地址:
之后从远程服务器获取文件,解密后保存到%temp%目录下,并通过命令行解压,执行其中的zx.bat。
远程获取的文件解压后共包含五个文件,如下所示,其中xclientelv.dll为UAC bypass模块,xclientsvc.dll为远控模块,install.bat则是实现持久化模块,ini文件中保存着加密的C2信息。
zx.bat执行起来后,通过命令判断是否管理员权限,判断操作系统版本,之后以相应的数值以及install.bat为参数执行xclientelv.dll。
文件名 |
xclientelv.dll |
MD5 |
2F43138AA75FB12AC 482B486CBC98569 |
执行后,获取参数,判断是否处于管理员权限,若已是管理员权限,则直接启动install.bat,若不是,则绕过UAC后再执行install.bat。
Install.bat功能为将xclientsvc.dll以及c2配置信息文件xclientsvc.ini拷贝到system32目录下,并创建服务实现持久化。
文件名 |
xclientsvc.dll |
MD5 |
A5A2C0AD843A66ACA636CE17066CC 417 |
该模块被加载起来后,首先解密初始化其API函数,以待后续使用。
执行命令更改控制台编码为Unicode字符集。
之后读取同目录下的xclientsvc.ini,解密其中的c2,获取计算机用户名,并加密处理,作为受害者标识。
之后通过命令cmd /c systeminfo获取系统信息保存到%temp%目录下。
将获取信息加密打包为cab文件,并以ff 时间命名,与c2 authadobe[.]medianewsonline[.]com /up.php?client_id=(加密的用户名)通信,若c2返回success则继续通信。
通信数据如下所示
若通信成功,则通过命令cmd /c tasklist获取进程列表信息,重复进行上述通信操作。
若通信仍然成功,则尝试从c2: authadobe[.]medianewsonline[.]com /dn.php?client_id=(加密的用户名)&prefix通信,获取数据命令分发执行。
之后解析C2返回数据,根据不同数据命令采取不同的方式执行后续。
命令功能如表所示
主指令 |
指令参数2 |
指令参数3 |
功能 |
cmd |
pull |
/f |
将指定文件拷贝到%temp%再上传 |
|
直接上传指定文件 |
||
put |
|
移动下载文件到指定目录 |
|
chmd |
|
写数据到指定文件 |
|
|
> |
远程shell并保存结果到%temp% |
|
|
|
远程shell |
|
user |
stext和> |
使用user权限执行下载文件,输出结果到%temp%目录下 |
|
|
使用user权限执行下载文件 |
||
|
|
使用user权限执行下载文件 |
|
stext |
|
执行下载文件结果保存到%temp%目录下 |
HWP样本分析
捕获到的HWP样本信息如下:
文件名 |
네이버블로그 소송건.hwp |
MD5 |
e9812302ce7e9ca5d42cfd4406a34494 |
该样本以诉讼案列为诱饵,引导受害者执行文档
通过hwpscan2工具打开文件,可见样本中包含Post Scrip脚本,执行文档后,该脚本将会释放到%temp%目录下,并通过HWP组件gbb.exe加载起来。
提取解密后的EPS文件如下,将通过异或解密执行shellcode
解密之后的shellcode将尝试从http://resulview[.]com/5hado/vbs.txt获取后续解密执行,但遗憾的是,捕获样本时已无法获取后续payload。
溯源关联
奇安信威胁情报中心安全研究院对此次活动的宏利用代码、eps代码、后门程序等方向分析发现,此次攻击活动与Konni之前的攻击活动基本一致。
相似的宏代码
经溯源分析发现,此次攻击活动使用的宏代码与此前ESTsecurity披露的Konni在疫情期间伪装成口罩信息的宏代码基本相似,同样硬编码了PE数据在代码中,并释放到% USERPROFILE%目录下,并以加密的url为参数启动:
相似HWP攻击文档
经分析发现,此次捕获的hwp文档,其中的EPS脚本异或密钥与之前的Konni的攻击活动中使用的异或密钥相同。
相同的解密算法
Konni近期对其木马字符串进行了加密处理,此次攻击活动的字符串加密算法也与之前的攻击活动中的相似。
同时,此次攻击活动中部分样本通信有稍许变化,使用HTTP通信替代了之前的FTP通信。
奇安信威胁情报中心ALPHA平台已对相关IOC打上Konni标签。
总结
Konni是一个复杂的APT团伙,具有Andorid 和Windows双平台攻击能力,且持续尝试更新其木马,并善用热点时事作为诱饵,极具针对性,例如疫情期间伪装口罩信息为诱饵等。奇安信威胁情报中心提醒重点企业员工等用户,切勿随意打开来历不明的邮件附件和链接。
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。同时,奇安信威胁情报中心已将自研文件深度扫描引擎RAS集成至奇安信威胁情报中心云沙箱中,欢迎广大社区朋友测试使用。
IOCs
MD5:
16b19998f8bdbaecf07b2556fcbd8d68
d41b09aa32633d77a8856dae33b3d7b9
37e713cf3dfe846aa9cbcc5cd09b92bd
6973fa7aed812980f0539302d64e618f
f05495a825e932c841f4d7f4e438ce0b
e9812302ce7e9ca5d42cfd4406a34494
cfa6d0d59624b961edadc04f5dae5777
a49b2a238ec3da5a89c0faba16d55988
da6e5db29ec181d66bdb39dac3f7b7d9
f88720ed70cc3f8482814ff3e3187427
http://27.255.77.110/xwow
http://resulview.com/5hado/vbs.txt
take-me.scienceontheweb.net
footballs.sportsontheweb.net
authadobe.medianewsonline.com
kutacity.com/2tezo/vbs.txt
kutacity.com/2tezo/no1.txt
参考
[1] https://ti.qianxin.com/blog/articles/analysis-of-konni-apt-organization-attack-activities-disguised-as-korean-android-chat-application/