一、攻击活动分析
根据攻击文件中的韩语特征,我们的分析表明,此次攻击的目标主要是针对韩国。
1.攻击流程分析
我们最初捕获到的样本是一种CHM类型的文件。一旦用户执行该文件,恶意命令将被用来加载远程的VBS脚本。接着,该VBS脚本将负责加载远程的PowerShell脚本。该PowerShell脚本经过quicklz算法压缩,需要进行解压缩后方能继续执行。解压缩后,通过Loader将QuasarRat加载到CasPol.exe进程空间中,并最终执行QuasarRat以获取用户信息。
图 1 攻击流程图
2.恶意载荷分析
在我们的发现中,攻击者使用了伪装成“生日祝福”信息的CHM文件作为初始载荷。当此CHM文件被受害者执行时,其内部的恶意脚本便会被加载运行。
图 2 诱饵信息示例
恶意脚本将以Base64编码的PowerShell脚本嵌入到一个VBS文件中,然后通过执行CHM文件中的代码来加载这个VBS文件。而此VBS文件的主要任务是从远程C2服务器获取并下载下一阶段的载荷。
图 3 代码执行
下载的载荷是名为runrunlastrun.vbs的脚本。该脚本首先在C:ProgramData目录下创建一个名为WindowsAppCertification的文件夹。然后该脚本从系统目录C:WindowsSysWOW64复制powershell.exe和wscript.exe两个文件到新创建的WindowsAppCertification文件夹内。接着创建三个文件:winappversion.ini, runps.vbs, 和 conf.ps1,这三个文件都位于WindowsAppCertification文件夹内。winappversion.ini文件包含用于创建计划任务的VBScript,该计划任务每两小时执行一次,并运行runps.vbs文件。runps.vbs文件包含一行命令,该命令通过PowerShell执行conf.ps1文件。conf.ps1文件包含一个简单的PowerShell命令,用于从指定的URL(https[:]//drive.google.com/uc?export=download&id=1wKzc_xz_qdqDWnIrCl3KmMpXFFKaEsG8&confirm=t)下载载荷并执行。最后,该脚本使用wscript.exe执行winappversion.ini文件,这将启动上述的计划任务。这个任务每两小时就会启动PowerShell,并从指定的URL下载并执行载荷。
图 4 runrunlastrun.vbs相关代码
图 5 runlastrun.ps1相关代码
在进行深入分析后,我们发现解压后的可执行文件其内部名称为”ProcessHollowingCsharp”,其PDB路径是“O:workVirusAttackProcessHollowingCsharpProcessHollowingCsharpobjx86ReleaseProcessHollowingCsharp.pdb”。主要操作是从内置资源中提取信息,并对这些信息进行RC4解密。值得注意的是,这个经过解密的负载实际上是Quasar RAT的V1.3.0.0版本。进一步的研究发现,该可执行文件将解密后的Quasar RAT注入到了系统路径”C:WindowsMicrosoft.NETFrameworkv4.0.30319CasPol.exe”的进程中,进一步加深了其潜伏和持久化的能力。如下图所示,我们已经从Quasar RAT中成功提取了相应的配置信息。
图 6 ProcessHollowingCsharp的main代码
图 7 Quasar RAT配置信息
二、归属研判
在2022年的公开威胁情报中,曾详细揭示了Kimsuky组织利用QuasarRAT进行攻击以窃取用户信息[1]。进入2023年,新的公开威胁情报再次揭露了Kimsuky组织通过使用恶意文档投递QuasarRAT恶意软件进行的攻击活动[2]。这次的攻击活动所使用的一系列恶意软件或脚本与我们捕获的攻击活动中所使用的恶意脚本及QuasarRAT key有着基本的一致性。基于这些一致性,我们可以确定这两次攻击活动都是由同一攻击组织发起的。
在此次攻击中,攻击者使用了具有诱惑性的CHM文件来针对韩国目标进行攻击。进一步分析发现,提取的HTML恶意代码的格式与Kimsuky组织最近的攻击活动中使用的恶意代码格式基本一致[3]。
综上所述,基于此次攻击活动的TTP、OSINT以及以往Kimsuky组织TTP,我们以中等信心将此次攻击活动归属为Kimsuky组织。
三、防范排查建议
在此次攻击中,攻击者采用了诱人的信息作为诱饵来发动攻击,这种攻击方式相当常见。因此,我们强烈建议用户在执行任何未知文件之前,务必确认其来源并谨慎对待。以下是防范排查建议。
-
更新和维护安全软件:确保您的操作系统、防病毒软件和其他安全工具处于最新状态。及时更新安全补丁和签名文件,以便及时识别和阻止恶意文件的攻击。 -
培训员工意识:进行网络安全意识培训,教育员工识别和避免点击或打开来历不明、可疑或未经验证的文件,特别是CHM文件。提醒他们谨慎对待电子邮件附件和下载的文件,尤其是来自未知或可疑来源的文件。 -
强化安全策略:实施多层次的安全策略,包括防火墙、入侵检测和防御系统、反病毒软件和反恶意软件工具等。这些措施有助于识别和阻止恶意文件的攻击。 -
文件过滤和审计:使用文件过滤和审计工具,限制对可执行文件和危险文件类型(如CHM)的访问权限。审查和监控文件传输和下载活动,及时检测和阻止潜在的恶意文件。 -
强化网络安全:配置和强化网络安全设备,如入侵检测系统(IDS)和入侵防御系统(IPS),以检测和阻止恶意文件的传输和执行。 -
限制管理员权限:限制用户的管理员权限,以减少恶意文件对系统的潜在危害。使用最低权限原则,确保用户只能访问他们所需的资源和功能。 -
实施安全更新和备份策略:定期备份重要数据,并确保备份存储在离线和安全的地方。定期更新和维护系统和应用程序,以修补安全漏洞,并及时应用补丁。 -
监控和响应:实施实时监控和安全事件响应机制,以及入侵检测和安全信息和事件管理系统。及时检测、分析和响应任何与恶意文件相关的安全事件。
C63336057F756C711C594E8B59B0265F
29652A5599AAB8088D8BFD453471FEFD
9E2D09F47CC48DD3E84205376A8F9ECB
81424820BDF139B1FE3DE3FAA4E98AE6
2DA5816578795BE004AD5D4190276A7F
CE161ED698C71AD9BEBB737F301B2B89
86A2CF6525C30C9D39CD6A4B0F67670B
8e35c04988a1ff196a12624139918f94
F667BF120D5760845FCDD2F02254EFF4
A9106A7C36418B9E4A19D0C7CC654E46
C26E3C33D2F3A5A13282EEE6E764BD79
9D8C438B710B314B2DC2E003B2F177B7
https[:]//drive.google.com/uc?export=download&id=1Ovbe1se3Rh9WH1LYT1ob1ngpdtjJW1yF&confirm=t
https[:]//drive.google.com/uc?export=download&id=1wKzc_xz_qdqDWnIrCl3KmMpXFFKaEsG8&confirm=t
https[:]//drive.google.com/uc?export=download&id=1GUfzCH1FsSSQZ_Xf8HwOLgqhsygBTnK9&confirm=t
https[:]//drive.google.com/uc?export=download&id=1fJt46ezrFwAKDAM-Mn64_ped54hvjIaO&confirm=t
[1] https://asec.ahnlab.com/en/31089/
360高级威胁研究院
原文始发于微信公众号(360威胁情报中心):APT-C-55(Kimsuky)组织假借“生日祝福”为诱饵分发Quasar RAT的攻击活动分析
