鲨鱼的狂欢 — APT-C-55 Kimsuky组织近期BabyShark组件披露

APT 6个月前 admin
409 0 0

APT-C-55
  Kimsuky

2019年2月,一个名为 BabyShark 的组件被发现针对美国的国家安全智库和学术机构。该活动中,BabyShark组件主要用于收集目标的机密和敏感信息,后续该组件被用于从事核安全和朝鲜半岛国家安全问题的间谍活动、通过渗透加密行业获取经济收益等目的。2022年上半年,360高级威胁研究院发现了来自Kimsuky组织该组件的多起攻击活动,该组件会针对特定用户进行定向攻击活动,隐蔽性强,并通过对多个地址访问请求增强其溯源难度。


1.攻击流程


通过BabyShark组件历史攻击可以知道前期通过诱饵文档来释放或下载后续恶意DLL,本次诱饵文档暂未捕获。攻击者利用恶意DLL释放VBS脚本文件,请求地址hxxps://api.onedrive.com/v1.0/drives/+path1+/items/+path2+select=id%2C%40content.downloadUrl+authkey获取后续请求地址hxxps://qizzhq.dm.files.1drv.com/y4mz739xHv5A59pON-9E5_f3U7qk1a-Jzwn-C_K-JA3A72_w-5vXa9zAx_YMJfIRdU4,请求上述地址获取到加密数据,利用VBS脚本解密后执行,最后收集用户相关信息上传至APT组织服务器ielsems[.]com

鲨鱼的狂欢 — APT-C-55 Kimsuky组织近期BabyShark组件披露

鲨鱼的狂欢 — APT-C-55 Kimsuky组织近期BabyShark组件披露


2.样本分析


MD5

3b11456f184a0d263b7f56cb92667b0e

First Submission

2022-03-12 13:50:42 UTC

DllMain函数中创建两个线程,线程1 解密base64数据并执行,线程2 检查安博士v3组件。

鲨鱼的狂欢 — APT-C-55 Kimsuky组织近期BabyShark组件披露


线程1:

    解密base64数据并调用WinExec执行。

鲨鱼的狂欢 — APT-C-55 Kimsuky组织近期BabyShark组件披露

鲨鱼的狂欢 — APT-C-55 Kimsuky组织近期BabyShark组件披露

    解密后的脚本掺杂着大量混淆字符,以无法正常阅读。通过解混淆操作后还原代码:

鲨鱼的狂欢 — APT-C-55 Kimsuky组织近期BabyShark组件披露

    脚本功能为请求C&C(hxxps://api.onedrive.com/v1.0/drives/+path1+/items/+path2+select=id%2C%40content.downloadUrl+authkey)获取后续URL。

鲨鱼的狂欢 — APT-C-55 Kimsuky组织近期BabyShark组件披露

请求结果:

鲨鱼的狂欢 — APT-C-55 Kimsuky组织近期BabyShark组件披露

脚本通过正则表达式匹配获取域名*.1drv[.]com,检测字符串是否匹配给定的正则表达式。

鲨鱼的狂欢 — APT-C-55 Kimsuky组织近期BabyShark组件披露

请求访问获取后续载荷:

鲨鱼的狂欢 — APT-C-55 Kimsuky组织近期BabyShark组件披露

获取到文本文件,内容已经被加密。鲨鱼的狂欢 — APT-C-55 Kimsuky组织近期BabyShark组件披露

调用VBS脚本函数Co00进行解密,解密函数和历史Kimsuky样本是一致的解密算法。

鲨鱼的狂欢 — APT-C-55 Kimsuky组织近期BabyShark组件披露

脚本功能为收集用户名,拼接发送到hxxps://ielsems.com/cic/macro.php?na=+用户名,访问后显示ok,推测攻击者在收集用户基本信息后针对特定目标进行精准攻击。

鲨鱼的狂欢 — APT-C-55 Kimsuky组织近期BabyShark组件披露

鲨鱼的狂欢 — APT-C-55 Kimsuky组织近期BabyShark组件披露


线程2 

    找49B46336-BA4D-4905-9824-D282F05F6576窗口实际为安博士杀软v3组件,找到之后也只是做了隐藏窗口的处理,并没有结束操作。这个类名在以往 GoldDragon的活动中经常使用。

鲨鱼的狂欢 — APT-C-55 Kimsuky组织近期BabyShark组件披露

在日常高价值样本狩猎中还发现了与此次攻击行动相关的组件,7de6969f867aada10c175e9d4328942e样本为上述攻击流程的后续载荷,虽然不是本次攻击链条的后续样本,但是通过我们历史发布的报告(https://mp.weixin.qq.com/s/og8mfnqoKZsHlOJdIDKYgQ)可以确认是该攻击链的后续样本,详细对比在关联分析中展开讨论。


MD5

7de6969f867aada10c175e9d4328942e

First Submission

2021-08-13 16:33:24

VBS脚本功能简述:

1.判断如果%appdata%目录下存在dsektop.tmp,则进行解密数据后执行,最终删除文件dsektop.tmp,如果不存在则请求地址worldinfocontact[.]club获取desktop.tmp,并保存至%appdata%目录下。

2.添加注入表键值AppXr1bysyqf6kpaq1aje5sbadka8dgx3g4g写入请求dsektop.tmp代码。

3.获取VBS脚本参数,进行替换操作后,执行参数并保存至userprofile%Microsoftsys.vbs

4.添加计划任务调用wscript.exe执行sys.vbs并读取注册表AppXr1bysyqf6kpaq1aje5sbadka8dgx3g4g内容,每隔29分钟执行1次

5.删除当前脚本

鲨鱼的狂欢 — APT-C-55 Kimsuky组织近期BabyShark组件披露

3.武器升级


本次还捕获到一个迭代版本的BabyShark组件样本,没有完整捕获到该样本流程链中的其他样本,通过特征可以确认为BabyShark相关组件。

样本4bb1827e37223b674ab7270f7b7bbb4d与之前披露的BabyShark组件的初始阶段载荷version_hwp.dllversion.dll导出函数相同(https://mp.weixin.qq.com/s/pkCK1ryXvGWFuoHQk9Rahg),且PDB路径H:HIJACKINGOneDrive_HijackinggoogleDrive_rat_load_completegoogleDrive_rat_load_completerat_loadReleaserat_load.pdb与近期披露的BabyShark组件路径吻合。通过编译时间戳可以推测为武器升级迭代。


MD5

4bb1827e37223b674ab7270f7b7bbb4d

First Submission

2022-02-06 05:47:09 UTC

    该DLL导出函数与历史Kimsuky样本导出函数一致。

鲨鱼的狂欢 — APT-C-55 Kimsuky组织近期BabyShark组件披露

    DllMian主要实现拼接字符串“C:Users用户名AppDataRoamingMicrosoftdesktop.r5u"并读取文件desktop.r5u(这里没有捕获到上一层释放的样本)并判断是否读取到文件流,如读取到继续执行流程,没有读取到则结束整个流程。

鲨鱼的狂欢 — APT-C-55 Kimsuky组织近期BabyShark组件披露

    读取文件内容后,申请空间写入读取到的文件内容。

鲨鱼的狂欢 — APT-C-55 Kimsuky组织近期BabyShark组件披露

    解密流程异或0xFFF:

鲨鱼的狂欢 — APT-C-55 Kimsuky组织近期BabyShark组件披露

    在目录下C:Users用户名AppDataRoamingMicrosoft创建log.txt文件,记录一个阶段载荷加载记录。并调用加载下一阶段载荷。

鲨鱼的狂欢 — APT-C-55 Kimsuky组织近期BabyShark组件披露

4.关联分析

本次披露样本与之前披露BabyShark组件代码有相似的流程攻击链,本次攻击链与历史攻击差异处在于两点,一是在请求目标不同,历史初次请求目标域名为onedrive.live.com,本次攻击初次请求目标域名api.onedrive.com,二是本次攻击链在请求第一次域名获取到的为后续短链接域名qizzhq.dm.files.1drv.com。利用短链接再请求后续数据,增强其溯源难度。

本次样本在收集用户信息后,没有针对特定用户下载样本的后续操作,但是结合之前披露的攻击链可以知道,后续样本收集用户信息后会进一步请求后续载荷。下图为本次BabyShark组件攻击链条结合之前披露的历史BabyShark组件攻击链合成的完整攻击链,红色框为本次攻击链路图,组件1(7de6969f867aada10c175e9d4328942e)在整个攻击流程内位置如下图所示。

鲨鱼的狂欢 — APT-C-55 Kimsuky组织近期BabyShark组件披露

本次攻击链使用解密算法与之前披露的BabyShark组件解密算法一致。

鲨鱼的狂欢 — APT-C-55 Kimsuky组织近期BabyShark组件披露

通过之前披露的BabyShark组件样本,可以确定组件7de6969f867aada10c175e9d4328942e为后续阶段样本。对比后可以发现7de6969f867aada10c175e9d4328942e样本与历史披露的BabyShark组件的第四阶段样本代码相同,且访问相同地址worldinfocontact[.]club请求后续载荷。


鲨鱼的狂欢 — APT-C-55 Kimsuky组织近期BabyShark组件披露

样本4bb1827e37223b674ab7270f7b7bbb4d与之前披露的BabyShark初始阶段的载荷version_hwp.dllversion.dll导出函数相同。且从编译时间来看样本4bb1827e37223b674ab7270f7b7bbb4dversion_hwp.dllversion.dll迭代升级版本。

鲨鱼的狂欢 — APT-C-55 Kimsuky组织近期BabyShark组件披露

鲨鱼的狂欢 — APT-C-55 Kimsuky组织近期BabyShark组件披露

且样本4bb1827e37223b674ab7270f7b7bbb4d PDB路径H:HIJACKINGOneDrive_HijackinggoogleDrive_rat_load_completegoogleDrive_rat_load_completerat_loadReleaserat_load.pdb与披露的BabyShark组件pdb路径部分相同,确认为BabyShark组件样本,后续捕获到完整攻击链后会继续披露。

鲨鱼的狂欢 — APT-C-55 Kimsuky组织近期BabyShark组件披露



附录 IOC


ielsems[.]com

worldinfocontact[.]club

hxxps://api.onedrive.com/v1.0/drives/+path1+/items/+path2+select=id%2C%40content.downloadUrl+authkey

hxxps://qizzhq.dm.files.1drv.com/y4mz739xHv5A59pON-9E5_f3U7qk1a-Jzwn-C_K-JA3A72_w-5vXa9zAx_YMJfIRdU4


3b11456f184a0d263b7f56cb92667b0e

4bb1827e37223b674ab7270f7b7bbb4d

7de6969f867aada10c175e9d4328942e


参考


https://mp.weixin.qq.com/s/pkCK1ryXvGWFuoHQk9Rahg

https://mp.weixin.qq.com/s/og8mfnqoKZsHlOJdIDKYgQ

https://www.huntress.com/blog/targeted-apt-activity-babyshark-is-out-for-blood







360高级威胁研究院

360高级威胁研究院是360政企安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。

原文始发于微信公众号(360威胁情报中心):鲨鱼的狂欢 — APT-C-55 Kimsuky组织近期BabyShark组件披露

版权声明:admin 发表于 2022年6月7日 下午6:31。
转载请注明:鲨鱼的狂欢 — APT-C-55 Kimsuky组织近期BabyShark组件披露 | CTF导航

相关文章

暂无评论

暂无评论...