疑似Group123（APT37）针对中韩外贸人士的攻击活动分析

一、事件概述

腾讯御见威胁情报中心在2019年8月底到9月中旬，检测到一批针对疑似中韩贸易等相关人士的钓鱼攻击活动。经过分析溯源发现，疑似是Group123攻击组织的最新攻击活动。

Group123，又被称为APT37，疑似来自朝鲜的攻击组织，该组织经常攻击国内的外贸公司、在华外企高管，甚至政府部门。该组织最常使用鱼叉钓鱼邮件进行定向攻击，使用Nday或者0day漏洞进行木马捆绑和伪装。

二、技术细节分析

1、初始攻击

本次攻击活动虽然未获取到相关攻击邮件，但是从相关日志来进行分析，可以确定是一次邮件钓鱼攻击，使用的诱饵名字包括제안서.rar、BN-190820.rar、list of delivery.rar等。

2、恶意文件植入

本次投递的诱饵为一个rar的压缩文件，解压后为一个伪装成word图标和名字的可执行文件：

该可执行文件实际为一个下载器，该下载器的技术分析如下：

1） 具有延时执行功能：

2） 下载恶意模块，下载http://artmuseums.or.kr/swfupload/fla/1.jpg文件到%temp%\winsxz：

3） 解密文件，简单异或解密，密钥如下：

42 32 33 37 38 33 35 31 36 41 36 34 39 44 36 37

42 32 44 38 31 43 41 46 45 41 31 42 41 33 39 33

4） 设置注册表 实现开机启动木马：

3、RAT分析

下载回来的jpg文件经过解密后，为真正的RAT，文件路径为：C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\svchost.exe

该文件加了vmp壳：

执行后创建名为HD_March的互斥量，防止重复运行：

与downloader使用同样的方法延时运行：

通过执行命令收集计算机信息，值得注意的是收集主机文档文件信息的时候含有.hwp文件信息的收集，该文件是韩国主流办公文件生成的文档文件，具有明显的地域特征：

RAT的功能已控制码如下：

ControlCode1	ControlCode2	行为
SLEEP	interval	Sleep指定时间
RUNCMD	cmdline	CMD Shell
	url
SETBURL	burl	下载相关
	rurl
	remove
EXEC	src	执行文件
	dst
	crypt
UPLOAD	type	上传文件相关
	url
	extlist
	dirlist

4、下发文件分析

此外，svchost还下发了一个文件C:\\Users\\Administrator\\AppData\\Local\\Temp\\mscmgr

该文件执行后，首先读取同目录下的aconfig.ini文件，从中获取C2信息：

释放{rand}.exe文件，MD5为：6f29df571ac82cfc99912fdcca3c7b4c，初步分析该文件为winrar命令行版压缩文件：

打包指定目录下的指定扩展名文件：

扫描全盘文件，打包指定扩展名的文件：

打包的文件均上传到C2上：

有意思的是，通信中存在下面的字符串，具体意义不明：

三、关联分析

1、攻击背景

由于诱饵诱饵文件中存在的韩文，而且收集的文件中包含有韩国主流办公文件生成的文档文件hwp，此外从受控机的背景可以发现为从事一些商贸的人士，且机器中出现过包含朝鲜语的文件，因此我们猜测攻击的对象为疑似跟韩国相关的贸易人士。

此外，从攻击的C2来看，都跟韩国相关，如：artmuseums.or.kr，腾讯安图检索结果如下：

而该站点为韩国博物馆的网站，因此我们猜测攻击者先攻击了该网站，然后以改站做为C2，以此来躲避查杀：

2、基础设施关联

1） 某RAT的C2：casaabadia.es，我们关联到相关文件：

相关文件为：gallery.jpg （3cc51847c2b7b20138ad041300d7d722）

通过该文件分析，我们关联到某文章：

https://www.fortinet.com/blog/threat-research/evasive-malware-campaign-abuses-free-cloud-service-targets-korean-speakers.html

虽然该文件并未明确支持组织名，但是从相关iocs的杀软家族来看为ScarCruft ，即为Group123：

2） 某些受控机在下载附件前会访问某url：www.chateau-eu.fr，具体原因不明。通过腾讯安图检索www.chateau-eu.fr如下：

而根据www.chateau-eu.fr进行反查，同样关联到另一篇文章：

该文章提到的信息跟这次攻击活动都非常相似：

如文件名svchost，但是样本无法下载，因此无法实锤；

基础设施域名重合；

url都都存在wp-content。

而该文章中提到的组织正好为Group123。

3、TTPs

从攻击手法上来看，该活动的攻击TTPs、攻击对象、攻击者背景跟Darkhotel和Group123类似。但是由于攻击对象主要为韩国，以及通过RAT下发收集文件的插件的方式，跟Group123都极为相似，因此我们猜测大概率为Group123。

4、结论

综上，我们对该次攻击定性为攻击组织Group123的新的攻击活动。

四、总结

Group123是针对中国大陆攻击活动非常频繁的一个攻击组织，该组织有使用0day进行攻击的能力，因此攻击战斗力不容小觑。虽然目前发现的一些受控机都为跟外贸相关的单位和人士，但是相关的政府部门也不能掉以轻心。

五、安全建议

我们建议外贸企业及重要机构参考以下几点加强防御：

1. 通过官方渠道或者正规的软件分发渠道下载相关软件；

2. 谨慎连接公用的WiFi网络。若必须连接公用WiFi网络，建议不要进行可能泄露机密信息或隐私信息的操作，如收发邮件、IM通信、银行转账等；最好不要在连接公用WiFi时进行常用软件的升级操作；

3.不要打开不明来源的邮件附件、可疑文档勿启用宏代码；

4.及时打系统补丁和重要软件的补丁；

5.使用腾讯电脑管家或腾讯御点终端安全管理系统防御可能的病毒木马攻击；

6.推荐企业用户部署腾讯御界高级威胁检测系统及时捕捉黑客攻击。御界高级威胁检测系统，是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。（https://s.tencent.com/product/gjwxjc/index.html）

六、附录

1、IOCs

hxxp://artmuseums.or.kr/swfupload/fla/1.jpg

hxxp://fjtlephare.fr/wp-content/uploads/2018/05/null/

hxxp://casaabadia.es/ wp-content/uploads/2018/06/null/

svchost.exe（RAT）

e26c81c569f6407404a726d48aa4d886              

list of delivery.doc.exe

ce4614fcf12ef25bcfc47cf68e3d008d   

BN-190820.doc.exe（RAT）

94fd9ed97f1bc418a528380b1d0a59c3 

plugin          

b23a707a8e34d86d5c4902760990e6b1       

winrar

6f29df571ac82cfc99912fdcca3c7b4c  

            

2019-08-08.doc.exe

51da0042fe2466747e6e6bc7ff6012b2        

2、参考文章

1） https://www.fortinet.com/blog/threat-research/evasive-malware-campaign-abuses-free-cloud-service-targets-korean-speakers.html

2） https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/07170728/Guerrero-Saade-Raiu-VB2017.pdf