产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec DDos防护
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
等保合规服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
运维解决方案
品牌保护解决方案
高防云主机安全
腾讯安心平台解决方案
行业解决方案
游戏行业安全方案
电商行业安全方案
零售行业安全方案
安全专项解决方案
勒索病毒专项解决方案
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
考试入口
证书查询
开启你的安全之旅
联系我们
寻求市场合作
友情链接
腾讯云
未登录- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
正文疑似Group123(APT37)针对中韩外贸人士的攻击活动分析
2019-10-28 06:49:52
一、事件概述
腾讯御见威胁情报中心在2019年8月底到9月中旬,检测到一批针对疑似中韩贸易等相关人士的钓鱼攻击活动。经过分析溯源发现,疑似是Group123攻击组织的最新攻击活动。
Group123,又被称为APT37,疑似来自朝鲜的攻击组织,该组织经常攻击国内的外贸公司、在华外企高管,甚至政府部门。该组织最常使用鱼叉钓鱼邮件进行定向攻击,使用Nday或者0day漏洞进行木马捆绑和伪装。
二、技术细节分析
1、初始攻击
本次攻击活动虽然未获取到相关攻击邮件,但是从相关日志来进行分析,可以确定是一次邮件钓鱼攻击,使用的诱饵名字包括제안서.rar、BN-190820.rar、list of delivery.rar等。
2、恶意文件植入
本次投递的诱饵为一个rar的压缩文件,解压后为一个伪装成word图标和名字的可执行文件:
该可执行文件实际为一个下载器,该下载器的技术分析如下:
1) 具有延时执行功能:
2) 下载恶意模块,下载http://artmuseums.or.kr/swfupload/fla/1.jpg文件到%temp%\winsxz:
3) 解密文件,简单异或解密,密钥如下:
42 32 33 37 38 33 35 31 36 41 36 34 39 44 36 37
42 32 44 38 31 43 41 46 45 41 31 42 41 33 39 33
4) 设置注册表 实现开机启动木马:
3、RAT分析
下载回来的jpg文件经过解密后,为真正的RAT,文件路径为:C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\svchost.exe
该文件加了vmp壳:
执行后创建名为HD_March的互斥量,防止重复运行:
与downloader使用同样的方法延时运行:
通过执行命令收集计算机信息,值得注意的是收集主机文档文件信息的时候含有.hwp文件信息的收集,该文件是韩国主流办公文件生成的文档文件,具有明显的地域特征:
RAT的功能已控制码如下:
|
ControlCode1 |
ControlCode2 |
行为 |
|
SLEEP |
interval |
Sleep指定时间 |
|
RUNCMD |
cmdline |
CMD Shell |
|
url |
||
|
SETBURL |
burl |
下载相关 |
|
rurl |
||
|
remove |
||
|
EXEC |
src |
执行文件 |
|
dst |
||
|
crypt |
||
|
UPLOAD |
type |
上传文件相关 |
|
url |
||
|
extlist |
||
|
dirlist |
4、下发文件分析
此外,svchost还下发了一个文件C:\\Users\\Administrator\\AppData\\Local\\Temp\\mscmgr
该文件执行后,首先读取同目录下的aconfig.ini文件,从中获取C2信息:
释放{rand}.exe文件,MD5为:6f29df571ac82cfc99912fdcca3c7b4c,初步分析该文件为winrar命令行版压缩文件:
打包指定目录下的指定扩展名文件:
扫描全盘文件,打包指定扩展名的文件:
打包的文件均上传到C2上:
有意思的是,通信中存在下面的字符串,具体意义不明:
三、关联分析
1、攻击背景
由于诱饵诱饵文件中存在的韩文,而且收集的文件中包含有韩国主流办公文件生成的文档文件hwp,此外从受控机的背景可以发现为从事一些商贸的人士,且机器中出现过包含朝鲜语的文件,因此我们猜测攻击的对象为疑似跟韩国相关的贸易人士。
此外,从攻击的C2来看,都跟韩国相关,如:artmuseums.or.kr,腾讯安图检索结果如下:
而该站点为韩国博物馆的网站,因此我们猜测攻击者先攻击了该网站,然后以改站做为C2,以此来躲避查杀:
2、基础设施关联
1) 某RAT的C2:casaabadia.es,我们关联到相关文件:
相关文件为:gallery.jpg (3cc51847c2b7b20138ad041300d7d722)
通过该文件分析,我们关联到某文章:
虽然该文件并未明确支持组织名,但是从相关iocs的杀软家族来看为ScarCruft ,即为Group123:
2) 某些受控机在下载附件前会访问某url:www.chateau-eu.fr,具体原因不明。通过腾讯安图检索www.chateau-eu.fr如下:
而根据www.chateau-eu.fr进行反查,同样关联到另一篇文章:
该文章提到的信息跟这次攻击活动都非常相似:
如文件名svchost,但是样本无法下载,因此无法实锤;
基础设施域名重合;
url都都存在wp-content。
而该文章中提到的组织正好为Group123。
3、TTPs
从攻击手法上来看,该活动的攻击TTPs、攻击对象、攻击者背景跟Darkhotel和Group123类似。但是由于攻击对象主要为韩国,以及通过RAT下发收集文件的插件的方式,跟Group123都极为相似,因此我们猜测大概率为Group123。
4、结论
综上,我们对该次攻击定性为攻击组织Group123的新的攻击活动。
四、总结
Group123是针对中国大陆攻击活动非常频繁的一个攻击组织,该组织有使用0day进行攻击的能力,因此攻击战斗力不容小觑。虽然目前发现的一些受控机都为跟外贸相关的单位和人士,但是相关的政府部门也不能掉以轻心。
五、安全建议
我们建议外贸企业及重要机构参考以下几点加强防御:
1. 通过官方渠道或者正规的软件分发渠道下载相关软件;
2. 谨慎连接公用的WiFi网络。若必须连接公用WiFi网络,建议不要进行可能泄露机密信息或隐私信息的操作,如收发邮件、IM通信、银行转账等;最好不要在连接公用WiFi时进行常用软件的升级操作;
3.不要打开不明来源的邮件附件、可疑文档勿启用宏代码;
4.及时打系统补丁和重要软件的补丁;
5.使用腾讯电脑管家或腾讯御点终端安全管理系统防御可能的病毒木马攻击;
6.推荐企业用户部署腾讯御界高级威胁检测系统及时捕捉黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html)
六、附录
1、IOCs
hxxp://artmuseums.or.kr/swfupload/fla/1.jpg
hxxp://fjtlephare.fr/wp-content/uploads/2018/05/null/
hxxp://casaabadia.es/ wp-content/uploads/2018/06/null/
svchost.exe(RAT)
e26c81c569f6407404a726d48aa4d886
list of delivery.doc.exe
ce4614fcf12ef25bcfc47cf68e3d008d
BN-190820.doc.exe(RAT)
94fd9ed97f1bc418a528380b1d0a59c3
plugin
b23a707a8e34d86d5c4902760990e6b1
winrar
6f29df571ac82cfc99912fdcca3c7b4c
2019-08-08.doc.exe
51da0042fe2466747e6e6bc7ff6012b2
2、参考文章
在线咨询