团伙背景
Kimsuky,别名 Mystery Baby、Baby Coin、Smoke Screen、Black Banshe 等,奇安信内部跟踪编号为 APT-Q-2。该 APT 组织于 2013 年公开披露,攻击活动最早可追溯至 2012 年。Kimsuky 主要攻击目标为韩国,涉及国防、教育、能源、政府、医疗以及智囊团等领域,以机密信息窃取为主。该组织通常使用社会工程学、鱼叉邮件、水坑攻击等手段投递恶意软件,攻击手法多样,拥有针对 Windows 和 Android 平台的攻击武器。
事件概述
近期奇安信威胁情报中心发现一批与 Kimsuky 历史样本相似的恶意软件。其中一个样本释放韩国软件厂商 BlueMoonSoft 签名的软件迷惑受害者。
恶意软件中的后门样本连接的C2服务器使用动态域名,后门主要功能包括:收集感染设备的系统和网络配置信息、下载后续载荷并执行。较新版本的后门在运行时会检测设备主机名是否在内置的目标列表中,如果不在则直接结束运行,主机名的筛选名单包含字符串 "DANAM",疑似指向韩国企业 Danam,该公司业务涉及电子制造、通信和国防工业。
详细分析
相关样本信息如下:
| MD5 (文件名) | VT上传时间 | 创建时间 | 说明 |
|---|---|---|---|
| 6efa53232350a76a52c7050b548ffe83(2-3 ssh.zip) | 2025-03-24 01:40:00 UTC | - | 压缩包中包含3种不同的恶意软件 |
| a52e10dd48d64372d94f87d8eb7ed8bf(sshdc.exe) | 2025-03-24 01:45:25 UTC | 2024-03-27 02:48:53 UTC | 压缩包中的恶意软件,可以在指定用户session中执行任意命令 |
| 0f06fe847a43108a211233a9c7aa9780(sshd_conf.dat) | 2025-03-24 01:45:24 UTC | 2025-03-19 04:41:51 UTC | 压缩包中的恶意软件,DLL,具有键盘记录、获取剪贴板、截屏功能 |
| e8f5d4bbf96855f7f4ad0ff4d67efe5e(ssh_config.dat) | 2025-03-24 01:45:24 UTC | 2025-03-19 18:18:30 UTC | 压缩包中的恶意软件,DLL后门 |
| 920f408fdc80c5697739cda9cf9a4ca7(BizboxAMessenger.exe) | 2025-03-21 06:57:40 UTC | - | Go编写的Dropper,用于释放后门 |
| d37569b238ec6c073a06a28bc665072c(IconCache.mdf) | 2025-03-27 10:02:06 UTC | 2025-03-20 04:52:44 UTC | DLL后门(较新版本),提取自上面Dropper的内嵌数据 |
Dropper
沙箱分析
将 Dropper 样本上传到奇安信情报沙箱(https://sandbox.ti.qianxin.com/sandbox/page)获取该样本的初步信息。
| 奇安信情报沙箱报告链接 | https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AZXw93rcONZSmF3-9K4E |
|---|---|
| 样本文件名 | BizboxAMessenger.exe |
| 样本MD5 | 920f408fdc80c5697739cda9cf9a4ca7 |
| 样本类型 | PE64 EXE |
| 样本大小 | 8.28 MB (8683520字节) |
沙箱基于智能的恶意行为综合判断给出了 10 分的恶意评分。
行为异常部分显示了样本的一些可疑行为,比如将样本路径重命名,后面加一个"~"。
创建可执行文件 BMSGTray.exe 和 msbuild.bat。
创建可疑进程,包括启动 BMSGTray.exe 和 msbuild.bat,使用 regsvr32.exe 调用 IconCache.mdf,以及删除样本文件自身。
主机行为“进程”信息显示了这些可疑进程之间的关系,启动 BMSGTray.exe、IconCache.mdf 和删除重命名后的样本文件由样本进程执行,而启动 msbuild.bat 由 IconCache.mdf 进程完成。
恶意代码细节
样本启动后,主函数 main_main 首先调用main_ChangeCurrentExe 将样本文件本身重命名为带"~"的路径,便于后续提取释放文件数据,以及执行自删除操作。
释放 BMSGTray.exe 并启动,BMSGTray.exe 文件数据在 Dropper 磁盘文件偏移位置 0x149AE0 处,数据长度为 0x6F0110。该可执行文件携带软件公司 BlueMoonSoft 的数字签名,签名时间为 2025 年 2 月 21 日。
用同样的方式释放后门 "%AppData%\IconCache.mdf",后门数据在 Dropper 磁盘文件偏移位置 0x111CE0 处,数据长度为 0x37E00。此外 Dropper 还会在 IconCache.mdf 后面追加长度随机且内容随机的数据。然后调用 regsvr32.exe 启动释放的 IconCache.mdf。不添加随机数据情况下 IconCache.mdf 的 MD5 为d37569b238ec6c073a06a28bc665072c。
最后调用 main_SelfDelete1 删除重命名后的样本文件。
后门
ssh_config.dat(MD5:e8f5d4bbf96855f7f4ad0ff4d67efe5e)与 IconCache.mdf(MD5:d37569b238ec6c073a06a28bc665072c)为同一款后门程序,两者的 C&C 通信模式一致。从编译时间上看,后者是更新的版本,而后者在前者的基础上添加了运行环境检查、持久化设置和自删除操作。
C&C通信
以 ssh_config.dat 为例说明后门与 C&C 服务器的通信过程。C&C 服务器的 URL 为hxxp://sudifo.ftp[.]sh/index.php,sudifo.ftp[.]sh 为 ftp.sh下的动态域名,后门使用 POST 请求发送数据,格式如下:
| a[9字节随机字符串]=[字段1]&b[9字节随机字符串]=[字段2]&c[9字节随机字符串]=[字段3] |
|---|
POST 数据 3 个字段含义如下:
| 字段序号 | 说明 |
|---|---|
| 1 | 请求类型,有 ”1”、”2”、”3”共3种,字段1的值为请求类型字符串的base64编码。 |
| 2 | 受害者ID,格式为”A-[8字节随机字符串]”或者”U-[8字节随机字符串]”,字段2的值为受害者ID字符串的base64编码。 |
| 3 | 向C&C服务器回传的数据,字段3的值可能为空。 |
受害者 ID 由前缀和随机字符串两部分组成。如果当前用户处于提权模式,前缀为 "A-"(即admin),否则为 "U-"(即user)。随机字符串初次生成后保存在后门 DLL 文件的可选数据流 "DDID" 中,便于后续获取。
后门与 C&C 服务器之间的3种请求类型分别对应如下功能。
(1)建立连接
请求类型 "1" 用于和服务器建立连接,如果返回响应不为 "live",则休眠 60 秒后再次尝试连接服务器。
(2)回传收集的数据
请求类型 "2" 向服务器回传收集的数据。建立连接后,后门执行命令 "systeminfo"和"ipconfig /all" 收集设备和网络信息,然后将执行结果回传到 C&C 服务器。
(3)获取后续载荷
请求类型 "3" 从服务器获取经过 RC4 加密的后续 DLL 载荷数据。如果服务器响应为 "fail",表明暂时未能获取到载荷。否则尝试解密接收的响应数据,并在内存中加载,然后调用指定导出函数 "hello"。
后续添加的功能
IconCache.mdf 相比 ssh_config.dat 添加了运行环境检查、设置持久化、自删除操作。
运行环境检查通过对比感染设备的主机名是否在内置的目标名单中实现。如果在名单中,才继续设置持久化和C&C 通信,否则直接自删除以清除后门痕迹。
主机名的目标名单中出现 DANAM,可能指向韩国企业 DANAM。YDJUNG 和 GRKIM 似乎是是人名缩写,SECURITY、COMPUTERROOM、5F-ROOM 意味着攻击者还关注特定的机构部门。
通过 sc.exe 创建名为 NewsUpdate 的服务,从而实现持久化。
自删除时释放 "%temp%\msbuild.bat" 脚本用于删除后门文件,文件删除完毕然后调用 TerminateProcess 结束进程。
其他恶意软件
后门 sshd_conf.dat 所在的压缩包中还有另外两个恶意软件。sshdc.exe 需要传入 session id 和命令行两个参数,功能为在指定用户 session 中执行任意命令。该恶意软件首先会尝试以高强制完整性级别("S-1-16-12288")模式运行命令,如果失败再以普通模式执行命令。
sshd_conf.dat 创建 3 个线程,分别执行键盘记录、剪贴板监控、截屏操作。
溯源关联
此次捕获的样本与之前我们披露的 Kimsuky 攻击行动[1, 2]具有相似的特征。
(1)样本与 C&C 服务器通信时发送的 POST 请求数据格式类似,而且字段名称使用随机生成的字符串。
(2)样本同样根据从 C&C 服务器获取的响应,决定是否采取进一步的操作。
(3)之前 Kimsuky 攻击活动中也使用过名为 "%temp%\msbuild.bat" 的自删除脚本,并且脚本内容一致。
(4)设置持久化的方式相同,均使用类似格式的 sc 命令。
另一方面,后门 IconCache.mdf 的 C&C URL 为 hxxp://gtfydu.surfnet[.]ca/index.php,使用动态域名。在域名 gtfydu.surfnet[.]ca 的活跃时间附近,解析 IP(104.37.184.39)还绑定了多个韩国的动态域名,而 Kimsuky 的历史攻击活动中经常出现此类韩国动态域名。
| 同一IP近期绑定的其他域名 |
|---|
| auth.worksmobile.r-e.kr |
| secure.navdomain.n-e.kr |
| login.hiwork.o-r.kr |
| auth.linkedin.r-e.kr |
域名中出现 work 和 linkedin 等词语,我们推测这些动态域名可能被攻击者用来实施以工作、招聘为诱饵的钓鱼攻击活动。
总结
本次发现的恶意软件延续了 Kimsuky 组织的攻击特点:Dropper 释放带签名的合法文件进行伪装、恶意文件添加随机数据避免唯一的文件 hash、使用 regsvr32.exe 启动 DLL 样本、在特定条件下自删除。两个后门样本均使用动态域名作为 C&C 服务器,实施进一步行动的恶意软件从服务器获取并内存加载,而新版后门为了增加攻击的隐蔽性,只在具有特定主机名的机器上才执行核心恶意代码,这也体现了本次攻击具有高度定向性,攻击者在前期应该借助了某些手段获取信息用以制作目标筛选名单。
防护建议
奇安信威胁情报中心提醒广大用户,谨防钓鱼攻击,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行标题夸张的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。
若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
IOC
MD5
6efa53232350a76a52c7050b548ffe83
a52e10dd48d64372d94f87d8eb7ed8bf
0f06fe847a43108a211233a9c7aa9780
e8f5d4bbf96855f7f4ad0ff4d67efe5e
920f408fdc80c5697739cda9cf9a4ca7
d37569b238ec6c073a06a28bc665072c
C&C
sudifo.ftp[.]sh
gtfydu.surfnet[.]ca
auth.worksmobile.r-e.kr
secure.navdomain.n-e.kr
login.hiwork.o-r.kr
auth.linkedin.r-e.kr
URL
hxxp://sudifo.ftp.sh/index.php
hxxp://gtfydu.surfnet[.]ca/index.php
参考链接
- https://ti.qianxin.com/blog/articles/Undercover-Kimsuky-APT-Q-2-Espionage-Campaign-Disguised-as-Software-Installers-CN/
- https://mp.weixin.qq.com/s/7vnxz8dYmWf7Z8Cmaa8sVg
4A评测 - 免责申明
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!
程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。
侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)
