作者:Nan&XWS@知道创宇404高级威胁情报团队
1.朝方 APT 组织攻击描述
2. 朝方 APT组织攻击动态
众所周知,朝方各组织对攻击目标的划分较为明确,其中目标主要为韩方的组织包括不限于APT37、Konni、Kimsuky,然而各组织之间又存在部分重叠,各研究团队又对各组织之间的界限划分不一致,原本组织命名的目的是为了方便研究团队的持续跟踪归纳,但组织的技战术更新往往会造成攻击归属无法准确归类到某一组织这种情况,故本文后续所使用的组织归属仅供参考。
2.1 APT37 攻击动态
由于APT37组织近期被大量披露,在此我们对已披露内容不做阐述,仅补充部分细节。在我们狩猎过程中,我们发现APT37的超大LNK文件疑似是由一款名为InkMaker v1的打包器打包生成,猜测是由于近期大量的样本制作,操作人员忘记替换打包器相关元数据,导致未去除的元数据直接使用。
疑似生成器InkMaker v1
Chinotto-A
Chinotto-B
2.2 Konni 组织攻击动态
在我们所捕获的Konni样本中,大多数初始载荷为Lnk文件,少数为CHM文件,我们推测其使用钓鱼邮件进行传播。攻击者通过多个不同主题的诱饵文档加载后续载荷,例如伪装韩国统一部改编的诱饵文档和安全邮件密码相关的诱饵文档,相关诱饵内容如下:
2.2.1 Konni 组织攻击活动列举分析
-
https://chainilnk.site/customerSVC/certs/pmny04.crt -
https://chainilnk.site/customerSVC/certs/qmny04.crt
-
检测loyes03.bat和upok.txt是否存在,存在则退出运行。 -
解压qmny04.cab到当前目录(C:UsersPublicdocuments),删除qmny04.cab。 -
检测temprr03.bat是否存在,存在则运行temprr03.bat。
mnasrt.vbs的主要功能是运行loyes03.bat:
loyes03.bat功能如下:
-
检测pmny04.bat是否存在,存在则将mnasrt.vbs写入注册表run启动项中,并运行loyestemp03.bat。
-
pmny04.bat不存在且upok.txt不存在则运行loyestemp03.bat。 -
检测是否存在strotan.txt,存在则退出运行。 -
strotan.txt不存在则删除temprun.bat和temprr03.bat,利用dwpp.vbs下载文件(下载地址:https://chainilnk.site/customerSVC/plod/pl_%COMPUTERNAME%) 另存为C:UsersPublicdocumentsjun.dat: -
jun.dat重命名为jun.cab后解压,最终运行解压后的temprun.bat。
loyestemp03.bat功能如下:
-
收集桌面文件列表、本机ip、系统信息,将收集的信息写入cudk.txt。 -
上传cudk.txt到服务端。
截止分析时,最终的下载链接已经失效,temprun.bat已经无法获取。
2.2.2 关联分析
6月份捕获的攻击样本中使用pakistan.txt作为执行流标记,而本次发现的样本改用strotan.txt作为执行流标记:
由此可见Konni组织在不同TTP中有使用同源代码的习惯,并不断修改自身部分文件特征。
3. 总结
4. IOC
-
f9171a375f765eae7a0babe94acaa081645da1f41a8d112d2d1e6bb26b81fd98 -
d245f208d2a682f4d2c4464557973bf26dee756b251f162adb00b4074b4db3ac -
9fd5094447ff48e7ec032ced663717c99a164a5e8f4222d8f9cc708e24d3bc4d -
f4897180b6d70b8134ed0a433af33ae173b666d32942d09d72cc8135b1ae93ba -
778e46f8f3641a92d34da68dffc168fdc936841c5ad3d8b44da62a7b2dfe2ee1 -
dd85c8400fb30e4d02f0159aab3c3dbe55d277360f04b1a4296d95bec0488e5a -
440ca9963b73653615de02e44b2ccd137e9609bb9975e79ffed1dca713a163d6
-
b31b89e646de6e9c5cbe21798e0157fef4d8e612d181085377348c974540760a -
87d60ea4650c18a1629892b26e22c975f317ff61ec27723e596158ec51db8b69 -
be568aad2e29b25609358b7793a36ebb3cb2109c3458e5920523a3104cded0fd -
151bfb656ce44249960c7aee094884cd5377dac57af9c001e051cde4b3901137 -
b3653c1d66f7878c2c5b60506bfe6fbbf50d17d6bf405f1a6e58c60fc6b40d6b -
cabdc51411d452e30e6fd6786a957520733dc8f0cef3656ffebdc797a7fca9bc -
f5e46e18facc6f8fde6658b96dcd379b82cc6ae2e676fb47f08cbeccd307b1b4 -
578689cb4b06c4d3f1850e4379c4b31f49170749c66b9576e1088f59fc891da2 -
a1f6ae788bf3f9ae17893f3b12d557f69b17fdb4f030ed5e5f66dbb6d2cc9d78 -
01e7405ddd5545ffb4a57040acc4b6f8b8a5cc328fa8172e1800a1cb49bdf15c -
012063e0b7b4f7f3ce50574797112f95492772a9b75fc3d0934a91cc60faa240 -
6a6f7bdca0423b8702c1803bf5593e2cc9eb06dc6df41310a11d9c2c8bcc1bae
(点击图片跳转)
原文始发于微信公众号(Seebug漏洞平台):原创Paper | 韩美大规模联合军演挑衅升级?朝方 APT 组织近期攻击活动分析