一、恶意载荷分析 

通过对Konni组织的持续追踪，我们捕获了多个Konni组织借助安装包进行投毒的恶意样本，下表是最近捕获的一个样本。

该安装包伪装成一款俄罗斯外交部使用的数据统计软件，根据统计可打印和生成关于所执行领事行动的年度报告,点击安装如下所示。

安装完成后，其软件正常程序、使用说明及恶意程序等都会释放到目录C:Program Files (x86)ConsulSoftStatRKZU下，该软件的使用说明如下所示。

另外该软件运行后需要用户点击进行UAC权限提升，由于正常软件安装也常常需要用户授权，故受害者往往在不知不觉中为恶意代码提供了便利。成功安装后，释放的恶意程序已经在后台具有高权限静默执行，首先执行install.vbs,该程序对install.cab解压，并根据系统位数重命名dll，然后执行其中的wiasvc.bat。    

wiasvc.bat的功能是将本目录的wiasvc.dll和wiasvc.ini拷贝到系统目录system32下，并在本目录删除。然后创建名为“wiasvc”的服务，描述信息为“Windows Image Acquisition Service”，执行程序为wiasvc.dll，最后启动服务，以此实现驻留。

其wiasvc.dll（md5:ae2cc3f595b08d1aa27cb059bd166636）功能经过分析，发现本次载荷与我们之前关于该组织的分析报告（https://mp.weixin.qq.com/s/RHbsCLzahLP0zGgC3N5pPQ）里的组件相似，流程如下。    

执行时先对配置文件wiasvc.ini进行解密，其中wiasvc.ini的前16个字节为IV(“6810D356CF0D0C7FC4452CAAD4CBC864”)，其余内容是加密之后的C2服务器地址，Key为服务名的Hash256值，使用AES-CTR解密得到C2服务器地址如下所示：

接着将获取的基本信息上传到“http://victory-2024.mywebcommunity.org /up.php?name={HostName}”，等待服务器响应执行相关指令，指令信息如下，相关功能可参见之前的分析。    

此外，相比之前版本，本次增加了对文件格式为“.7z”、 “.docx”、“.xlsx”的文件直接加密上传，否则使用makecab进行打包后再加密上传。这或许是因为docx和xlsx类型文件本质为压缩包类，无需再进行压缩。

 二、关联分析 

在2023年10月份，我们当时就捕获过Konni组织使用的这类MSI载荷，介于两者样本类似，这里一并进行分析说明。

Spravki BK是俄罗斯联邦政府推出的一款用于填写收入、支出、财产及财产相关义务证明的专用软件，可以从官网下载，通过对本次捕获的安装包和从官网下载的安装包进行比较，发现增加了部分恶意文件，如下所示（左为恶意安装包，右为官方安装包）。

默认安装目录为“C:Program Files (x86)СправкиБК”, 下图为运行界面。    

安装程序会执行释放的wapsvc.bat文件，该脚本和上面分析的类似，执行时创建名为“wapsvc”的服务，描述信息为“Wireless Application Protocol Service”，执行程序为wapsvc.dll，其具体功能不再叙述。

原文始发于微信公众号（360威胁情报中心）：假面之下：Konni组织冒充政府软件安装包攻击剖析