Konni APT 组织据悉由特定政府提供支持,自 2014 年以来一直持续活动,该组织长期针对俄罗斯、韩国等地区进行定向攻击活动,其擅长使用社会热点话题对目标进行鱼叉式网络钓鱼攻击。
微步情报局在近期通过威胁狩猎系统捕获到的多起Konni对韩攻击活动中,分析发现以下情况:
-
在2024年4月中旬至7月初期间,KONNI组织对韩国RTP工程部以及涉及税务、对朝市场的分析人员发起了攻击。该组织使用了以“会议材料”、“逃税漏税”和“市场价格”等韩文主题为诱导的恶意样本进行攻击; -
Konni组织利用自动化工具批量生成恶意样本,这些样本均在2023年12月25日11:39:35同一时刻生成,但在2024年不同时间段进行针对性投递。推测使用脚本工具依据模板生成恶意样本,未发现的实际投递样本可能数量庞大,目前仅发现了6个在野样本,这种样本投递仍十分活跃,最新在野样本在7月6号被发现; -
Konni组织使用的恶意样本在执行链中通过失陷网站托管核心载荷,虽然核心载荷的存续时间极短,但是恶意样本在受感染主机上进行了持久化,因此不能排除该组织后续重新启用核心载荷的可能性。此外,核心载荷使用AutoIt3脚本进行免杀,效果极佳,该核心载荷自2024年4月提交以来,多引擎查杀率仍为0。 -
微步通过对相关样本、IP 和域名的溯源分析,提取多条相关 IOC ,可用于威胁情报检测。微步威胁感知平台 TDP 、威胁情报管理平台 TIP 、威胁情报云 API 、云沙箱 S、沙箱分析平台 OneSandbox、互联网安全接入服务 OneDNS 、威胁防御系统 OneSIG 、终端安全管理平台 OneSEC 等均已支持对此次攻击事件和团伙的检测。
2.1 团伙画像
|
团伙画像 |
|
|
特点 |
描述 |
|
平台 |
Window平台 |
|
攻击目标 |
韩国RTP工程部以及涉及税务、对朝市场研究的人员 |
|
攻击地区 |
韩国 |
|
攻击目的 |
信息收集活动 |
|
攻击向量 |
Lnk文件、AutoIt免杀脚本 |
2.2 技术特点
-
使用失陷站托管恶意载荷:相关载荷的持续时间极短,目前仅捕获到一个核心载荷。然而,由于钓鱼样本实现了持久化功能,Konni组织仍可以通过感染对应的失陷站,放置相应文件,从而执行核心载荷。
-
核心载荷为编译后的AutoIt(au3)脚本,免杀率极高:这是因为许多检测引擎尚未掌握处理这种编译文件的执行方式导致,亟需解决以应对这种攻击方式。
编译后的核心载荷使用AutoIt工具读取后执行指令,然后在window系统上执行指定的恶意行为,该工具的官网地址为www.autoitscript.com,如下图所示。
Konni在历史攻击中使用的核心AutoIt脚本,在VT引擎检出率均未被检测恶意,如下图所示:
近日,微步情报局捕获到一个以“会议材料”为诱导名称的恶意样本,该样本针对韩国RTP公司员工,主要目的是进行信息收集活动。该压缩包的SHA256哈希值为 d7f9185ffc17b3d6f1fd91eafbf9ccc42e2d75c338571a03aec2fd44993e3d37,解压后的文件如下所示:
|
文件名 |
译文 |
判断 |
|
1. 알티피_엔지니어링본부 사업개발회의 자료.hwp.lnk |
1.RTP_工程总部业务发展会议材料.hwp.lnk |
恶意 |
|
2. 알티피_엔지니어링본부 사업개발회의 요약.pptx |
2.RTP_工程总部业务发展会议材料.pptx |
正常文件 |
由于未知原因,恶意文件释放的HWP文件和正常的PPTX文件打开时均显示乱码(如下图所示,左为HWP文件,右为PPTX文件)。然而,LNK文件执行的恶意代码仍能正常运行。
3.1 基本信息
对恶意样本进行分析,相关样本信息如下:
|
sha256 |
0aaec376904434197bae4f1a10ecfe8d4564d95fdfa8236ea960535710661c5f |
|
sha1 |
c5d67fb97a7a824168c872f8557eb52f503c9798 |
|
MD5 |
87dc4c8f67cffc8a9699328face923e2 |
|
文件类型 |
lnk文件 |
|
文件大小 |
2.03 MB |
|
文件名称 |
1. 알티피_엔지니어링본부 사업개발회의 자료.hwp.lnk (1.RTP_工程总部业务发展会议材料.hwp.lnk) |
|
功能描述 |
Lnk文件执行PowerShell脚本,下载失陷站托管的恶意载荷并持久化运行 |
|
sha256 |
2189aa5be8a01bc29a314c3c3803c2b8131f49a84527c6b0a710b50df661575e |
|
sha1 |
65f5f7d127c478522e9669200de20000edcb6cfb |
|
MD5 |
9d6c79c0b395cceb83662aa3f7ed0123 |
|
文件类型 |
lnk文件 |
|
文件大小 |
283 KB |
|
文件名称 |
첨부1_소명자료 목록(탈세제보).hwp.lnk (附件1_说明材料清单(逃税举报).hwp.lnk) |
|
功能描述 |
Lnk文件执行PowerShell脚本,下载失陷站样本并持久化运行 |
3.2 详细分析
相关流程图如下:
如果 Avast 进程不存在,删除原有任务后,脚本会创建一个指向自身的快捷方式,并放入启动目录,以确保在系统启动时自动运行以维持持久化。
然后创建93.183.93.185:57860的socket连接方式,然后循环接受&执行命令。
|
指令类型 |
操作 |
通信方式 |
|
1(executecmd) |
失陷机上执行命令 |
获取2字节,解析为指定命令长度 再获取该长度字节,转化为字符串命令 使用读写管道断链执行cmd命令 |
|
2(upload) |
上传文件,黑客端到失陷机 |
获取4字节,解析为指定文件名称长度 获取该长度字节,转化为名称 再获取4字节,解析为指定文件字节长度 获取该长度字节,转化为文件内容 写入指定名称的文件内容 |
|
3(download) |
下载文件,失陷机到黑客端 |
获取4字节,解析为指定文件名称长度 获取该长度字节,转化为名称 查找文件是否存在,若存在 发送4字节,为该文件长度 再发送文件到黑客端 |
|
4 |
无 |
无 |
直到分析结束,分析人员仍未接收到相关指令或者文件。
通过对该样本的拓线,目前可以发现相关联样本共6个,关键信息如下:
|
Sha256 |
文件名 |
文件创建时间 |
在野出现时间 |
载荷失陷站 |
|
7887cea2962c954ccb60d005da03abcf 68962517d1b3e3d2a472f5d952a03f8e |
2023-12-25 11:39:35 |
2024-07-06 |
executivedaytona.com |
|
|
0aaec376904434197bae4f1a10ecfe8d 4564d95fdfa8236ea960535710661c5f |
1. 알티피_엔지니어링본부 사업개발회의 자료.hwp.lnk |
2023-12-25 11:39:35 |
2024-06-28 |
cavasa.com.co |
|
0329bb5b3a450b0a8f148a57e045bf6e d40eb49a62e026bd71b021a2efc40aed |
2023-12-25 11:39:35 |
2024-06-02 |
phasechangesolutions.com |
|
|
5ea09247ad85915a8d1066d1825061cc 8348e14c4e060e1eba840d5e56ab3e4d |
2023-12-25 11:39:35 |
2024-06-02 |
phasechangesolutions.com |
|
|
2189aa5be8a01bc29a314c3c3803c2b8 131f49a84527c6b0a710b50df661575e |
첨부1_소명자료 목록(탈세제보).hwp.lnk |
2023-12-25 11:39:35 |
2024-04-23 |
jethropc.com |
|
ba59f1ece68fa051400fd46467b0dc0a 5294b8644c107646e75d225a45fff015 |
북한 내부정보/시장통제 관련 내부 동향 및 물가.hwp.lnk |
2023-12-25 11:39:35 |
2024-04-04 |
www.cammirando.com |
C2
-
失陷站:
-
C2:
Hash
-
清除C盘下可疑随机名称目录,该目录包含重名后的curl.exe文件、重命名后的AutoIt3.exe文件以及后缀为au3名称为随机名称的文件(未转移); -
清除C:UsersPublic目录下的可疑随机名称目录,其中包含随机名称名称的bat脚本文件或者启动项中可疑的lnk文件(已转移); -
清除可疑的计划任务或者启动项。
-
不轻易点击未知文件,做好防范;
-
发现可疑文件及时上报;
-
不幸点击及时断网,封存设备,等待专业人员进行处理。
原文始发于微信公众号(微步在线研究响应中心):APT组织Konni对韩最新攻击细节曝光
