APT-C-28(ScarCruft)组织利用恶意LNK文件投递RokRat攻击的活动分析

APT 4周前 admin
127 0 0
APT-C-28
  ScarCruft

APT-C-28(ScarCruft)组织,也被称为APT37(Reaper)和Group123,是一个源自东北亚地区的APT组织。该组织的相关攻击活动最早可追溯到2012年,并且一直保持到现在仍然十分活跃。APT-C-28主要聚焦于对韩国和其他亚洲国家进行网络攻击行动,其目标涵盖了化学、电子、制造、航空航天、汽车以及医疗保健等多个关键行业。该组织的主要目的在于窃取与战略军事、政治和经济相关的重要、敏感数据。

此外,RokRat是一种基于云的远程访问工具,自2016年以来就一直是APT-C-28在其众多攻击活动中频繁使用的工具。RokRat的持续使用表明该工具在帮助APT-C-28实现其复杂的情报窃取活动方面扮演了关键角色。通过这种高级的远程访问工具,APT-C-28能够有效地渗透目标网络,窃取关键信息,并对受害者进行长期的监控。

360高级威胁研究院监测到APT-C-28组织在进行一次精心策划的网络攻击。该组织利用伪装成“朝鲜人权专家辩论”的恶意LNK文件,作为向目标传递RokRat恶意软件的手段。我们在这次攻击中捕获的初始样本是一个压缩文件,里面含有伪装的恶意LNK文件。当执行这个LNK文件时,它会诱导用户下载并运行RokRat恶意软件。根据以往的公开威胁情报资料,我们推断这次攻击的初始载荷很可能是通过钓鱼邮件发送的。

 一、攻击活动分析  

1.攻击流程分析  

我们最初截获的恶意载荷是一个压缩文件,其中包含了恶意的LNK文件。根据我们分析的公开威胁情报资料,这个初始样本很可能是通过恶意邮件传播的。当用户激活这个恶意LNK文件时,它会提取出一个恶意的BAT文件和PowerShell脚本。这个BAT文件随后调用PowerShell脚本,从DropBox云服务下载下一个阶段的加密载荷。接下来,通过应用XOR算法对加密载荷进行解密,从而得到shellcode。然后,这个shellcode会在一个新创建的线程中被加载,其内部解密硬编码的数据以获取RokRat恶意软件。这一系列步骤揭示了恶意软件的复杂传播和激活机制。    

APT-C-28(ScarCruft)组织利用恶意LNK文件投递RokRat攻击的活动分析

图 1 攻击流程图

2.载荷投递分析  

1.           
2.           

2.1.载荷投递方式  

根据我们分析的公开威胁情报资料,我们推测这次网络攻击的初始载荷很可能是通过恶意邮件传播的。不过我们目前只能捕获到涉及的压缩文件和恶意LNK文件。这个恶意LNK文件包含的代码被用来下载并加载后续的攻击载荷。

2.2.恶意载荷分析   

MD5

D11D3032E7C38FA314A55AC4B5E61C5D

SHA1

47E54EE76620AA2F50DFCC120E60BB20B9CD534F

SHA256

3FD02C7057EF1324AD74714A7FC4B00AC338CFB172A788D98E5A781548B8F027

文件类型

Windows shortcut

文件名

북한인권전문가토론회.lnk

攻击者通过发送以“朝鲜人权专家辩论”相关内容为诱饵的LNK文件,诱使目标用户执行该文件。该LNK文件内嵌有恶意的 PowerShell代码,用于在特定目录下隐蔽地搜索并执行多个操作,主要功能如下:   

1).利用 user32.dll 动态链接库隐藏命令行窗口,以减少用户的警觉性;

2).在特定目录搜索特定大小的.lnk 文件,并对其进行一系列操作:从.lnk 文件中提取嵌入的 PDF 文件并将其保存在相同目录下,接着执行该 PDF 文件;

3).提取一个内嵌的可执行文件并以.dat格式保存在系统的Public目录;

4).提取并保存一个批处理文件(.bat),命名为 북한인권전문가토론회061223.bat,并存储在 Public 目录中,随后执行它。

5).在执行这些操作之后,脚本清理其痕迹,删除原始的.lnk 文件,并终止执行。

整个过程虽然复杂,但目的在于无声无息地执行多种潜在恶意操作。

APT-C-28(ScarCruft)组织利用恶意LNK文件投递RokRat攻击的活动分析

图 2 LNK中的恶意代码

APT-C-28(ScarCruft)组织利用恶意LNK文件投递RokRat攻击的活动分析

图 3 诱饵文档示例
恶意的bat脚本主要执行提取的dat文件。

APT-C-28(ScarCruft)组织利用恶意LNK文件投递RokRat攻击的活动分析

图 4 提取的bat脚本
提取的dat文件包含了一段 PowerShell 脚本,它主要负责将十六进制数据转换为字符串,并以无限循环的方式执行。提取出来的脚本具体执行以下功能:

1).从指定Dropbox 链接下载数据;

2).更改内存区域的保护属性,使其可执行,接着对下载的数据通过异或 (XOR) 操作进行解密;
3).创建新线程执行解密数据;
4).如果在下载或处理数据过程中出现异常,脚本会暂停(11秒),然后重试整个过程。    

APT-C-28(ScarCruft)组织利用恶意LNK文件投递RokRat攻击的活动分析

图 5 原始dat脚本代码

APT-C-28(ScarCruft)组织利用恶意LNK文件投递RokRat攻击的活动分析

图 6 主要的power shell脚本代码

3.攻击组件分析 

  • Shellcode分析  

解密的shellcode从硬编码的加密数据处解密出PE文件,解密的PE文件是2023年编译的的RokRat木马。最后将RokRat加载到内存后跳转到入口点执行。

APT-C-28(ScarCruft)组织利用恶意LNK文件投递RokRat攻击的活动分析

图 7 跳转到PE入口点执行
  • RokRat分析   

MD5

4E231F708755A69AF49C8DE135A8E25E

SHA1

C280FC3538BFE163C981A89D7509823E8C9FB060

SHA256

A9CBB1927B391173265FF7A4FDEFED59AFEDDD5B245A2A58C2637B01F87F6119

文件类型

PE32 Execurable

编译时间

2023-12-02  11:02:17

我们此次捕获的是一个编译日期为2023年12月02日的RokRat恶意软件样本。此次发现为我们提供了一个宝贵的机会,来深入分析和对比RokRat的演变路径。我们曾在2022年末披露过该恶意软件的功能特征[1],并将其与几年前的RokRat版本进行了比较。本次,我们着重分析了2023年末编译的RokRat样本,以探究其在攻击技术和策略方面的最新变化。初步分析表明,这个新样本在功能上与先前的版本相似,主要通过攻击者控制的云服务接收指令,并根据这些指令执行各种恶意活动。         

APT-C-28(ScarCruft)组织利用恶意LNK文件投递RokRat攻击的活动分析

图 8 接收指令与执行
接下来,让我们总结RokRat恶意软件中各种控制指令及其对应的功能。
列表 1 命令字符与功能

  • 0,g
监听或等待状态。
  • i
获取屏幕截图,定期获取系统进程信息。
  • j,b
快速终止。
  • d

执行删除特定文件的命令,如删除启动项、批处理文件等,然后退出。
(命令执行:

del"%appdata%MicrosoftWindowsStart MenuProgramsStartup*.VBS" "%appdata%*.CMD" "%appdata%*.BAT""%appdata%*01" "%appdata%MicrosoftWindowsStart MenuProgramsStartup*.lnk" "%allusersprofile%MicrosoftWindowsStart MenuProgramsStartup*.lnk" /F /Q)
  • f

执行删除特定文件的命令,随后退出。
(命令执行:

del "%appdata%MicrosoftWindowsStart MenuProgramsStartup*.VBS" "%appdata%*.CMD" "%appdata%*.BAT" "%appdata%*01" /F /Q)
  • h

遍历系统上的所有逻辑驱动器,获取驱动器所有文件信息并上传。

  • e
命令执行。
  • c
指定文件上传。
  • 1,2,5,6
从命令中包含的URL获取下一阶段载荷。
  • 3,4,7,8,9
文件下载。
  • 1,2,3,4
在成功获取载荷的情况下,创建线程执行载荷并收集系统信息。
(命令执行:
tasklist>>"%temp%r.txt" & echo == Startup ==>>"%temp%r.txt" & dir /a "%appdata%MicrosoftWindowsStart MenuProgramsStartup">>"%temp%r.txt" & dir /a "%allusersprofile%MicrosoftWindowsStart MenuProgramsStartup">>"%temp%r.txt" & echo == Info ==>>"%temp%r.txt" & systeminfo>>"%temp%r.txt" & echo == Route ==>>"%temp%r.txt" & route print>>"%temp%r.txt" & echo == Ip ==>>"%temp%r.txt" & ipconfig /all>>"%temp%r.txt" & echo == arp ==>>"%temp%r.txt" & arp -a>>"%temp%r.txt" & echo == Recent ==>>"%temp%r.txt" & dir /a "%appdata%MicrosoftWindowsRecent">>"%temp%r.txt" & echo == WMIC ==>>"%temp%r.txt" & wmic startup >> "%temp%r.txt" & echo == Local ==>>"%temp%r.txt" & dir /a "%localappdata%">>"%temp%r.txt" & echo == ProgD ==>>"%temp%r.txt" & dir /a "%allusersprofile%">>"%temp%r.txt")
  • 5,6,7,8,9
在成功获取载荷的情况下,获取载荷解密并写入到KB400928_doc.exe文件中并执行。

在深入分析2023年的RokRat恶意软件样本时,我们发现它在整体功能方面大体延续了2022年版本的核心特征,尤其是在云服务利用策略上。这一持续性表明攻击者对于其所采用的云服务策略的有效性和可靠性仍然抱有强烈的信心。然而,在某些具体操作的执行方式上,我们观察到了一些变化。2023年的样本没有继续采用2022年版本中的清理注册表痕迹的方法,而是回归到了更早版本的策略,即通过命令提示符直接清理文件和痕迹。这一改变可能是攻击者在权衡系统影响、隐蔽性和适应性后的精心考量,反映了他们在维持操作方面的策略微调,旨在提高隐蔽性和效率,同时确保对系统的最小影响,从而更有效地规避安全措施的检测。
表 2 不同版本样本清理痕迹方式对比
  • RokRat(2023)
del "%appdata%MicrosoftWindowsStart  MenuProgramsStartup*.VBS" "%appdata%*.CMD"  "%appdata%*.BAT" "%appdata%*01"  "%appdata%MicrosoftWindowsStart MenuProgramsStartup*.lnk"  "%allusersprofile%MicrosoftWindowsStart  MenuProgramsStartup*.lnk" /F /Q
  • RokRat(2022)
reg delete   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run  /v OfficeBootPower /f & reg delete   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run  /v OfficeBootPower /f & del c:\programdata\30
  • RokRat(2019/2020)
del "%appdata%MicrosoftWindowsStart  MenuProgramsStartup*.VBS" "%appdata%*.CMD"  "%appdata%*.BAT" "%appdata%*01"  "%appdata%MicrosoftWindowsStart MenuProgramsStartup*.lnk"  "%allusersprofile%MicrosoftWindowsStart  MenuProgramsStartup*.lnk" /F /Q

 二、归属研判 

在我们之前的文章中,我们详细介绍了攻击者如何利用恶意文档来投递RokRat恶意软件样本[1],还深入分析了针对能源行业的RokRat攻击活动[2]。这些文章中,我们对RokRat的功能进行了全面的阐述,并发现它们与本次分析中的RokRat样本在功能上高度一致。基于这些功能的相似性,以及攻击模式的对比,我们有理由将这一系列攻击活动归因于ScarCruft组织。

 三、防范排查建议 

攻击者通过电子邮件投递压缩文件,并诱导用户点击其中的恶意LNK文件以释放RokRat样本的攻击策略,以下是一些防范和排查建议:

1.电子邮件筛选和审查: 加强对电子邮件的筛选和审查措施。对未经请求的或来自不明来源的邮件保持警惕,尤其是那些附带有压缩文件的邮件。使用高级的电子邮件过滤解决方案可以帮助识别和隔离可疑邮件。

2.员工培训和意识提升: 定期对员工进行网络安全意识培训。确保员工了解恶意邮件的常见迹象,如怪异的邮件地址、拼写和语法错误、以及不寻常的附件。
3.限制文件类型的执行: 在组织的网络上限制或阻止执行来自邮件附件的可执行文件和脚本。
4.使用防病毒软件: 确保所有设备都安装并更新了最新的360安全卫士,帮助检测和隔离恶意软件。
5.定期进行安全扫描: 定期对网络和系统进行安全扫描,以识别任何潜在的安全漏洞或恶意活动。
6.应用最新的安全补丁: 保持所有软件和操作系统的更新,以确保任何已知的漏洞都得到及时修补。
7.实施多因素认证: 在可能的情况下,应用多因素认证,以增加账户安全性,特别是对于邮件系统和敏感信息的访问。

360聚能过去20年实战经验及能力推出360安全云,目前,360安全云已实现对此类威胁的全面检出,全力守护千行百业数字安全。


附录 IOC
AA861D4C34289076F02C34A88B0CEC56
D11D3032E7C38FA314A55AC4B5E61C5D
859696CE508E347A858C2FA5F7D2041C
A671C70B0BD57072AE4813F37F2A9A73
2304183C6738E42BA89FC29F881B0684
BCD4251AD453BBE27C41379B3E24667F
2791D2E5C21409FEB314E2A709E49062
D93B7B2071357288DE2B4BC5C97F4591
4E231F708755A69AF49C8DE135A8E25E
https://dl.dropboxusercontent[.]com/scl/fi/99el46xk80wjrz82avbbb/hybrid_x64.zip?rlkey=dmkh2dcrdi3vjny6s3ahs2wa4&dl=0

参考链接

[1]https://mp.weixin.qq.com/s/RjvwKH6UBETzUVtXje_bIA
[2]https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA%3D%3D&mid=2247492864&idx=1&sn=0af3b744c9d5deeb1697ce2a3565624b






360高级威胁研究院

360高级威胁研究院是360数字安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。

原文始发于微信公众号(360威胁情报中心):APT-C-28(ScarCruft)组织利用恶意LNK文件投递RokRat攻击的活动分析

版权声明:admin 发表于 2024年4月23日 下午6:54。
转载请注明:APT-C-28(ScarCruft)组织利用恶意LNK文件投递RokRat攻击的活动分析 | CTF导航

相关文章