云中諜影:Group123組織近期攻擊活動分析
責編:gltian |2023-07-12 14:46:47團伙背景
Group123,也稱ScarCruft,奇安信內部追蹤編號為APT-Q-3,在2016年6月由卡巴斯基最先進行披露,被認為是來自朝鮮的攻擊組織,最早活躍于2012年,該組織被認為與2016年的Operation Daybreak和Operation Erebus有關,且Group123和APT組織Kimsuky存在特征重疊。
Group123早期主要針對韓國,2017年后延伸攻擊目標至半島范圍,包括日本,越南和中東。其主要針對工業垂直領域,包括化學品、電子、制造、航空航天、汽車和醫療保健實體。Group123會專門針對所需目標量身定制社會工程策略,利用定制化的魚叉郵件投放壓縮附件,包含偽裝成文檔的快捷方式文件。受害者點擊打開后會釋放惡意的RTF文檔,并下載HTA,通過HTA文件執行PowerShell以觸發后續階段的攻擊載荷植入。該組織使用文件共享站點分發惡意軟件,同時也經常利用韓文處理器(HWP)和Adobe Flash中的漏洞[1]。
活動概述
奇安信威脅情報中心紅雨滴團隊一直以來都在對全球各大APT組織進行追蹤,在對東亞相關APT組織進行追蹤時我們發現該組織近期針對韓國的攻擊頻繁發生。
自微軟宣布Office應用程序將阻止來自Internet的宏以來,各大APT組織紛紛改變他們的攻擊策略和技術手段,以適應新的安全措施。在此背景下,Group123組織積極擴展新的攻擊方式,使用偽裝成合法文檔的LNK文件進行攻擊。這些LNK文件一般都比較大,因為里面內嵌了誘餌文檔和混淆過后的PowerShell命令,僅一次雙擊過后即可運行,這或許比單純使用已知的Nday漏洞進行攻擊更為有效。其攻擊流程如下圖所示:
初始攻擊文件通常為壓縮包,里面包含誘餌PDF和偽裝成PDF文件的LNK文件。
根據Group123組織常用的TTP進行推測,猜測其初始入口載荷為魚叉式釣魚郵件,而部分執行鏈包含韓語,以及包含Hangul Word Processor(HWP,韓國流行的文檔格式)文件,足以說明其以韓國為相關攻擊目標。
捕獲的誘餌內容包括2023年5月23日在首爾空軍酒店舉行會議的活動日程表。出席者包括韓國國防部副部長、國家安保戰略研究院、韓國防衛產業學會會長等。
以及最近的實時政治內容,4月26日美國總統拜登和韓國總統尹錫悅在白宮發表《華盛頓宣言》,韓國Jeong Seongjang于5月8日發表文章“《華盛頓宣言》對于應對朝核威脅有何幫助?”,被Group123組織從網站摘抄并生成hwp文檔用作誘餌。
還有以朝鮮民主化網絡NKnet相關內容作為誘餌。
以上誘餌均為hwp文檔,另外還以pdf文件作為誘餌。例如以韓國對外經濟政策研究院發布的簡報“美中矛盾時代中國的通商戰略變化及啟示”相關內容作為誘餌。
還有以當前朝鮮的動向與社會變化、朝鮮政權的雙重性等主題為誘餌。
另外在7月份捕獲到的文件來看,Group123組織還以wav音頻文件作為誘餌,包括防空警報聲、韓國歌曲“??? ??? ? ??-MR(-2???)”等。
LNK文件
通過對Group123組織的了LNK文件進行分析,我們發現在執行過程中會在%temp%釋放以固定日期命名的BAT文件,據此我們相信Group123組織使用的LNK文件應該是使用工具生成的。
通過對樣本執行過程中的PowerShell進行搜索,我們找到了EmbedExeLnk項目[2]。其功能是創建一個嵌入EXE文件的LNK文件,而不需要外部下載。通過創建LNK文件并將EXE文件附加到末尾來實現。LNK文件執行一些PowerShell命令,從LNK末尾讀取EXE的內容,將其復制到%temp%文件夾中,然后執行。
Group123組織使用該項目,定制化修改代碼,在生成的LNK文件中嵌入誘餌。該項目不僅可以自定義執行的PowerShell命令,還可以修改生成的LNK文件圖標。
樣本分析
這里我們以近期攻擊的樣本為例,雙擊惡意LNK文件會觸發PowerShell的執行。
PowerShell從LNK文件中提取數據,并將其放入%temp%目錄下,然后打開它,這個文件通常是一個誘餌,該樣本釋放的誘餌是一首歌曲。
PowerShell的另半部分是在%temp%目錄下釋放以日期命名的BAT腳本并執行。
去混淆后該腳本如下:
該腳本功能是從OneDrive下載后續載荷,通過后續載荷的第一個字節作為密鑰對后面的內容進行異或解密,然后將解密后的數據反射注入到PowerShell進程中執行。
解密后的Shellcode首先利用GetTickCount和IsDebuggerPresent函數進行反調試,確定不被調試才會進入后續解密流程。
對Shellcode后面嵌入的內容進行解密,使用四字節的key進行異或解密。
解密的內容為Group123組織常用的RokRAT,隨后將RokRAT在內存中展開,修復導入表,最終通過GetTickCount函數來判斷整個加載過程是否超過700毫秒,未超過則調用入口點執行,超過則直接調用文件偏移0x400處的.text段執行。
RokRAT遠控木馬最早于2017年活躍,并且經歷了一系列的演進和變化。其通常作為加密后的二進制文件進行分發,RokRAT能夠捕獲屏幕截圖、鍵盤記錄、反虛擬機檢測,并利用云存儲服務的API作為其命令和控制(C&C)基礎設施的一部分。它使用Cloud、Box、Dropbox和Yandex等云存儲平臺進行通信和數據交換,使得攻擊者能夠遠程控制受感染系統并執行惡意操作。RokRAT的持續演進和適應性使其能夠跨多個操作系統和設備類型進行滲透和控制。除了針對韓國目標的活動外,還發現了RokRAT的macOS版本(稱為CloudMensis)和Android版本。
此次捕獲的RokRAT為2023年6月13日編譯,其攻擊鏈釋放的bat文件被命名為230630.bat,據此我們有很大把握認定該樣本為Group123組織近期攻擊活動使用的樣本。
其RokRAT執行的命令如下表所示:
| 指令 | 功能 |
| i | 發送收集的信息到C2 |
| j、b | 發送收集的信息到C2后終止進程 |
| d | 發送收集的信息后執行清理腳本,然后終止進程 |
| f | 發送收集的信息后執行清理腳本,然后終止進程(與d指令執行的腳本不同) |
| h | 枚舉磁盤上的文件 |
| 1、2、5、6 | 從URL下載執行shellcode |
| 3、4、7、8、9 | 初始化云服務信息,下載執行shellcode |
| e | 使用cmd.exe執行命令 |
| c | 遍歷文件,竊取指定后綴文件 |
總結
通過追蹤發現,Group123組織近期活動十分猖獗,其TTP復雜多變,僅近兩個月的追蹤我們便發現了數種TTP,但是攻擊的核心都離不開誘餌文檔。此次捕獲的超大LNK文件,里面填充了大量垃圾數據,此舉無非是為了繞過部分殺軟或者部分安全監控軟件。RokRAT作為Group123組織一直維護使用的木馬,且其整個執行過程都是與云服務進行通信,從而極大地減少了被發現的風險。
APT組織攻擊一直以來對于國家和企業來說都是一個巨大的網絡安全威脅,并且會在長時間的攻擊活動中保持高度的隱蔽性,需時刻提防,并采取相應的防御措施來應對這些持續威脅的存在。
防護建議
奇安信威脅情報中心提醒廣大用戶,謹防釣魚攻擊,切勿打開社交媒體分享的來歷不明的鏈接,不點擊執行未知來源的郵件附件,不運行標題夸張的未知文件,不安裝非正規途徑來源的APP。做到及時備份重要文件,更新安裝補丁。
若需運行,安裝來歷不明的應用,可先通過奇安信威脅情報文件深度分析平臺(https://sandbox.ti.qianxin.com/sandbox/page)進行判別。目前已支持包括Windows、安卓平臺在內的多種格式文件深度分析。
目前,基于奇安信威脅情報中心的威脅情報數據的全線產品,包括奇安信威脅情報平臺(TIP)、天擎、天眼高級威脅檢測系統、奇安信NGSOC、奇安信態勢感知等,都已經支持對此類攻擊的精確檢測。
部分IOC
MD5
487769a19f032e981f33023b2cb7fe10
02685c2ffc30c55667076cfb01033060
484bcb44845946e444f05295cf19e98e
72b3765580c8c8588feccf06f98c090b
5776368e1a8483d11f3ee1c383f193c4
7095811df4cb1ee4135ce605af7f163f
61f4946837d7cd1701eedb3c372121c6
1da701990560b8b0db2c4441145a3ee3
71dbebb8a31ea3de0115851bb15fd2bc
74e3d84492845067a0da6cfa00c064eb
445e7fd6bb684420d6b8523fe0c55228
fe5520783f715549cc3c4df9deaf89bf
44ba46dfff78bc62a3b2619d308ca40c
c14a66e1a039d2e51cb70adb609df872
7504a626993179e5819246234ca6c4c9
PDB
D:\\Sources\\MainWork\\Group2017\\Sample\\Release\\DogCall.pdb
URL
http://vmi810830.contaboserver.net/local/cache-js/f93754e660802d7cc70924cceb4738ef.gz
https://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL2kvcyFBZ0s4V1ZDeXlfX0plNGo4QlR
MWWg0bmhZazA_ZT1vMHI1QmQ/root/content
https://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL2kvcyFBbURRNTNEY0xNVUVmRjBj
TG5uckhOMGVJcmc_ZT14U083alE/root/content
https://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL3UvcyFBdHp5SUlSR3JuQnhhblU5U
W1DZWplU1RNZ1U_ZT14SDY0dks/root/content
參考鏈接
[1].https://ti.qianxin.com/apt/detail/5acc5730596a10001ca81c3b?name=Group123&type=map
[2].https://www.x86matthew.com/view_post?id=embed_exe_lnk
來源:奇安信威脅情報中心