产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御验证码
T-Sec 天御文本内容安全
T-Sec 天御视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→
解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
NEW
最新动态
威胁研究
合作伙伴
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云

威胁研究

正文

“Higaisa（黑格莎）”组织近期攻击活动报告

2020-02-27 01:58:51

腾讯安全威胁情报中心检测到“higaisa（黑格莎）”APT组织在被披露后经过改头换面再次发动新一轮的攻击，在这轮攻击中，该组织舍弃了使用多年的dropper，完全重写了攻击诱饵dropper，此外还引入了dll侧加载（白加黑）技术对抗安全软件的检测和查杀。

一、背景概述

“Higaisa（黑格莎）”组织是腾讯安全2019年披露的一个来自朝鲜半岛的专业APT组织，因为其常用higaisa作为加密密码而得名。该组织具有政府背景，其活动至少可以追溯到2016年，且一直持续活跃到现在。该组织常利用节假日、朝鲜国庆等朝鲜重要时间节点来进行钓鱼活动，诱饵内容包括新年祝福、元宵祝福、朝鲜国庆祝福，以及重要新闻、海外人员联系录等等。被攻击的对象包括跟朝鲜相关的外交实体（如驻各地大使馆官员）、政府官员、人权组织、朝鲜海外居民、贸易往来人员等，受害国家包括中国、朝鲜、日本、尼泊尔、新加坡、俄罗斯、波兰、瑞士等。

二、基础信息

文件名	MD5	功能/属性
Happy-new-year-2020.scr	2173b589b30ba2b0242c82c9bcb698b2	dropper
Rekeywiz.exe	082ed4a73761682f897ea1d7f4529f69	白文件，用于+加黑
Duser.dll	5de5917dcadb2ecacd7ffd69ea27f986	Downloader
cspwizres.exe	54c0e4f8e59d1bd4c1e0d5884b173c42	窃密木马
2020-New-Year-Wishes-For-You.scr	37093D3918B0CC2CA9805F8225CCCD75	dropper
Duser.dll	01B90259A9771D470582073C61773F30	Downloader
390366d02abce50f5bb1df94aa50e928	390366d02abce50f5bb1df94aa50e928	Gh0st trojan
bbf9822a903ef7b9f33544bc36197594	bbf9822a903ef7b9f33544bc36197594	Gh0st trojan
0a15979a72f4f11ee0cc392b6b8807fb	0a15979a72f4f11ee0cc392b6b8807fb	Gh0st trojan
739a40f8c839756a5e6e3c89b2742f8e	739a40f8c839756a5e6e3c89b2742f8e	Gh0st trojan

三、鱼叉攻击

与以往的攻击手段类似，“higaisa（黑格莎）”依然以节假日祝福为主题诱饵进行鱼叉钓鱼攻击，最近抓获的攻击邮件主题为“Happy new year 2020”、“2020 New Year Wishes For You”等，欺骗用户下载并打开附件。

附件解压后得到木马诱饵名为Happy-new-year-2020.scr、2020-New-Year-Wishes-For-You.scr，运行后释放并打开与主体相对应的图片欺骗受害者。

四、木马行为分析

1.Dropper

1）2020-New-Year-Wishes-For-You.scr与Happy-new-year-2020.scr功能类似

可能由于被曝光的原因，该组织对dropper进行了重写，舍弃了原来将payload存放在资源及使用“higaisa”作为密钥进行rc4解密的方式，直接从数据段中解密（XOR 0x1A）释放恶意文件到指定目录并执行。释放的恶意文件如下：

%ALLUSERSPROFILE%\CommonDatas\Rekeywiz.exe（白）

%ALLUSERSPROFILE%\CommonDatas\Duser.dll（黑）

%TEMP%\Happy-new-year-2020.jpg（正常的伪装图片）

2）使用com创建EfsRekeyWizard.lnk到启动目录，指向Rekeywiz.exe实现持久化。

2. Downloader

1）Rekeywiz.exe文件为操作系统白文件，运行时会加载edsadu.dll，该文件也是系统自带文件，edsadu.dll加载过程中会加载Duser.dll，实现白加黑攻击:

2）Duser.dll的InitGadgets接口函数中实现了恶意功能，创建恶意线程:

3）使用RC4解密出C2，然后获取磁盘序列号的CRC32值作为tn参数，获取随机字母为ved参数，向C2发送请求，C2为：hxxp[:]//petuity.shopbopstar.top/research/index.php 及 hxxp[:]//adobeinfo.shopbopstar.top/notice/index.php

4）C2返回的数据也是经过RC4加密的数据，解密后为PE文件，释放到temp目录后执行:

5）其中文件名也来自于C2的返回数据，取数据从后往前第一个’&’之后的字符作为文件名:

6）C2返回的数据实例，与之前的攻击类似：最终下载了infostealer+gh0st RAT

3.Infostealer

cspwizres.exe（54c0e4f8e59d1bd4c1e0d5884b173c42）文件主要行为是获取计算机信息，并发送到C2。

1）解密出要执行的命令结果如下：主要用于收集系统信息、网络信息、进程信息、文件信息等systeminfo&ipconfig -all&tasklist&net view&dir c:\&dir c:\users\&dir d:\&dir e:\：

2）创建cmd执行以上命令，并通过管道获取执行结果

3）解密出C2，C2地址与之前的攻击活动相似

4）将获取的信息上传到C2中185.247.230.252：

4. RAT

持续监控中发现，后期攻击者会对不同的受害者下载gh0st改版木马驻留受害者系统，我们目前共在受害机发现3个不同版本的gh0st木马。

版本1:

该木马为gh0st RAT，含有文件管理、进程管理、CMDshell等功能，C2: x1.billbord.net:6539。

版本2：

该木马为gh0st RAT，含有文件管理、进程管理、CMDshell等功能， C2: www.phpvlan.com:8080

版本3：

该木马为gh0st远控改版，只保留插件管理功能，所有功能需插件实现，C2: console.hangro.net:1449。

5. TTP/武器更新

1)Dropper

本轮攻击利用“白+黑”的方式加载Downloader模块：rekeywiz.exe+ Duser.dll

2)Downloader

自腾讯安全御见威胁情报中心公布该组织攻击报告后（https://s.tencent.com/research/report/836.html），该组织对其Downloader进行改版，新一批downloader下载功能均基于老版本的curl开源代码实现：

五、MITRE ATT&CK

Tactic	ID	Name
Initial Access	T1193	Spearphishing Attachment
Execution	T1106	Execution through API
	T1129	Execution through Module Load
	T1203	Exploitation for Client Execution
	T1085	Rundll32
	T1035	Service Execution
	T1204	User Execution
	T1175	Component Object Model and Distributed COM
	T1072	Third-party Software
Persistence	T1179	Hooking
	T1137	Office Application Startup
	T1038	DLL Search Order Hijacking
	T1060	Registry Run Keys / Startup Folder
Defense Evasion	T1140	Deobfuscate/Decode Files or Information
	T1107	File Deletion
	T1036	Masquerading
	T1112	Modify Registry
	T1027	Obfuscated Files or Information
	T1085	Rundll32
	T1099	Timestomp
Credential Access	T1179	Hooking
	T1056	Input Capture
Discovery	T1083	File and Directory Discovery
	T1046	Network Service Scanning
	T1135	Network Share Discovery
	T1057	Process Discovery
	T1082	System Information Discovery
	T1007	System Service Discovery
Lateral Movement	T1534	Internal Spearphishing
Collection	T1123	Audio Capture
	T1005	Data from Local System
	T1114	Email Collection
	T1056	Input Capture
	T1113	Screen Capture
Command and Control	T1043	Commonly Used Port
	T1094	Custom Command and Control Protocol
	T1024	Custom Cryptographic Protocol
	T1001	Data Obfuscation
	T1065	Uncommonly Used Port

六、安全建议

我们建议外贸企业及重要机构参考以下几点加强防御：

1、通过官方渠道或者正规的软件分发渠道下载相关软件；

2、谨慎连接公用的WiFi网络。若必须连接公用WiFi网络，建议不要进行可能泄露机密信息或隐私信息的操作，如收发邮件、IM通信、银行转账等；最好不要在连接公用WiFi时进行常用软件的升级操作；

3、提升安全意识，不要打开来历不明的邮件的附件；除非文档来源可靠，用途明确，否则不要轻易启用Office的宏代码；

4、及时安装操作系统补丁和Office等重要软件的补丁；

5、使用杀毒软件防御可能的病毒木马攻击，对于企业用户，推荐使用腾讯T-Sec终端安全管理系统(腾讯御点)。腾讯御点内置全网漏洞修复和病毒防御功能，可帮助企业用户降低病毒木马入侵风险；

6、推荐企业用户部署腾讯T-Sec高级威胁检测系统（腾讯御界）及时捕捉黑客攻击。御界高级威胁检测系统，是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。（https://s.tencent.com/product/gjwxjc/index.html）