Operation DevilTiger：APT-Q-12 使用 0day 漏洞技战术披露

从 2019 之后有关 Darkhotel 组织的行动在开源情报中的占比连年降低，与此同时政企终端中出现了数个具有朝鲜半岛背景并且技战术不同的攻击集合，我们根据特马和目标行业对这些攻击集合进行了分类，分别为 APT-Q-11(虎木槿)、APT-Q-12(伪猎者)、APT-Q-14(旺刺)、APT-Q-15、UTG-Q-005 等，经过五年的持续跟踪发现这些组织之间互有重叠，我们认为这些攻击集合都是当年 Darkhotel 的子集。

对 APT 组织的研究深入与否，取决于对其使用的插件类型掌握的程度。目前主流的 APT 组织都是只是将木马当作加载器或者下载者，大部分的间谍行为都由后续的插件来完成，由于不同组织对于目标数据的需求不同，如何在几百上千个内部文档中快速定位自己想要的数据，是导致各个方向的 APT 组织插件差异化巨大的主要原因，例如在 Operation ShadowTiger^[3] 活动中，Durain 插件只是用来获取特定的目录结构和移动特定目录下的文档，上传操作则是由 peach 插件利用管道传递参数的方式将数据上传到 C2 服务器上，而 APT37 和新海莲花组织则是只上传文件路径和目录结构，攻击者在后端对文档进行筛选，南亚方向的 CNC 组织先通过小型木马挑选感兴趣的文件目录，最后将文件目录硬编码在窃密插件中递归上传所有文档。

所以想要研究 APT 组织背后的行为逻辑和政治目的，仅靠初始的样本分析是远远不够的，插件的研究和捕获是重中之重。

我们建议政企客户在办公区和服务器区同时部署天擎 EDR 并开启云查功能来抵御未知的威胁。

友商在最近的安全大会和 PR 报告中直截了当的对 0day 漏洞进行了分析，但是从攻击者挖掘漏洞到投递鱼叉邮件这中间存在一个非常复杂的信息收集过程。如何探测受害者使用的是 foxmail？163？coremail？以及平台是 win 客户端？网页端？移动端？为了能够完美触发各平台的 0day 漏洞，APT-Q-12 设计了多套复杂的邮件探针并周期性地向目标投递探针邮件以此来收集受害者的使用习惯和行为逻辑，恶意探针邮件非常难以识别，正文模仿各类广告和订阅号。

在合法探针链接下面插入攻击者自己的 C2 探针链接：

尽管有些正文和标题容易被识别成垃圾邮件，但是 APT-Q-12 周期性地更换正文内容总能获取到受害者的 User-agent 信息，从而获取目标当前使用的邮件品牌和邮件平台。

在对目标人员 Office 软件的信息进行收集时，APT-Q-12 对 wps 和 word 进行了区别处理。

探测wps

针对 wps 的探测时，附件内容中内嵌了 ole 对象的 web 控件。

当使用 wps 打开该 mhtml 格式的文件后会将请求内置的 C2 探针，本地测试触发流程如下：

由于 Microsoft word 在十年前就已经就把 web 控件禁用，所以使用 word 打开上述 mhtml 文件时不会向 C2 探针发起请求。

探测Microsoft word

针对 Microsoft word 的探测时将 C2 探针链接插入模板注入中。

为了绕过沙箱检测，打开诱饵 docx 时会有一层交互。

点击确认后才会请求 C2 探针链接，当使用 wps 打开该文档时则不会发起网络请求。

攻击者使用上述差异化的探测方式来判断受害者常用的 office 软件。信息收集后的结果在东北亚地区各个 APT 组织中互相共享，而从为后续的 0day攻 击铺平道路。

我们曾在 operation Dargon Dance^[3] 一文中提到基于 CEF 框架开发的国产软件脆弱性的问题，国内的外包人员和黑产都可以轻易的挖掘 RCE 漏洞进而发起大规模的  0day 攻击活动，漏洞入口一般为 XSS  漏洞，后续 payload 落地要么调用内部接口要么使用 chrome 内核较老的 RCE 漏洞来进行触发，内部接口利用方式的攻击链如下：

0day 邮件正文如下：

触发时会闭合标题上的代码，执行标题中剩余 js 代码：

解密后的内容如下：

执行邮件正文中的代码：

Name 字段解密后内容如下：

寻找邮件结构中名为 image.png 的资源，并通过内部接口进行调用。

Base64 解密后实际为 lnk 文件，执行的 CMD 命令如下：

将 lnk 拷贝到特定目录下，并且解密 lnk 文件的附加数据并释放到 %temp% 目录下命名为 s.mui，启动 rundll32 去执行 s.mui 的导出函数 f。

~StaticCache-System.dat 文件是 APT-Q-12 常用的第一阶段下载者。解密出的 C2 如下:

从云盘获取 bmp 并进行解密：

https://bitbucket.org/noelvisor/burdennetted/downloads/OAQDDI32.bmp

https://bitbucket.org/poppedboy/bovrilchant/downloads/32.bmp

解密后的文件为第二阶段的下载者，调用 extension 导出函数，从 bitbucket.org/penguinwear/avoidlover/downloads/3WIGyjvJ.tmp 下载 tmp  文件到%temp% 目录，并进行 AES 解密。

将解密后的数据保存到以下路径 AppDataLocalMicrosoftWindowsSHCoreMMDevAPI.mui。

指令功能与 blackberry 于 2017 年披露的功能一致，同年我们又捕获到了另一个 win 平台邮件客户端的 0day 漏洞，由于 CEF 框架中 Chromium 内核版本过低，攻击者通过 XSS 漏洞执行带有 CVE-2017-5070 利用代码的 JS 脚本，从而实现木马落地。

XSS 触发入口如下：

CVE-2017-5070 EXP代码如下：

一般情况下 CEF 程序的 Chromium 内核不开启沙盒功能，所以攻击者不需要考虑内核提权的步骤，内存加载下载者 shellcode，从远程服务器下载第一阶段下载者，后续流程与上述一致，不再赘述。

我们通过天擎 EDR 告警数据和现场排查捕获了较为完整的插件类型，APT-Q-12 的攻击目标和攻击逻辑与 APT-Q-11(虎木槿)较为吻合：

攻击者一般会通过 powershell 命令下发键盘记录插件。

将记录的数据加密存放在 appdataroamingmicrosoftvaultbincheck.db 文件中，加密算法如下：

将数据解密后可以看到键盘记录插件捕获的详细数据。

出于对隐私的保护，我们无法透露键盘记录中都包含哪些敏感内容。APT-Q-12 对半导体竞争和政治宣传导向等领域的情报较为关注，符合东北亚国家的利益。

接着下发浏览器窃密插件，获取内网 web 平台的凭证信息

在此过程中还会收集机器上保存密码的 txt 文件，尽可能多的获得账密信息，同步下发屏幕截图插件，观察受害者平时的操作习惯和登录方式。

经过两三个月的蛰伏后，启动反向隧道工具 revsocket 登录内网平台脱取内部数据，该团伙并没有自动化的文件收集插件，会结合其他情报来源得到的未公开事件和未知时间节点，通过木马在受害机器上搜索是否存在相关内部资料。

附件中包含了一个名为 0o0o.apk 的恶意程序：

与 C2 服务器建立连接实现对目标手机的长期控制，启动后会执行 Curl 命令下载一段 Payload。

Payload 内容如下：

从手机中读取对应 app 中的邮件数据经过 tar 打包后通过 toybox 执行 nc 命令上传到 C2 域名上。攻击者想要刺探与中朝贸易有关的情报。

环顾整个亚洲，朝鲜半岛的攻击者拥有无与伦比的进攻能力，整体水平接近 T1 级别，南北双方都将对方视为主要的战略对象，网络攻击不仅对双方造成了巨大影响，也给亚洲其他国家带来了极大的挑战。邻近的国家在这一持续的对抗中，既可能成为攻击的跳板，也可能被波及到战略目标范围内。

764c7b0cdc8a844dc58644a32773990e

59cd91c8ee6b9519c0da27d37a8a1b31

fa17ed2eabff8ac5fbbbc87f5446b9ca

71094ef9f2cf685e6c7d11fe310e5efb

URL:

hxxps://bitbucket.org/noelvisor/burdennetted/downloads/OAQDDI32.bmp

hxxps://bitbucket.org/poppedboy/bovrilchant/downloads/32.bmp

hxxps://bitbucket.org/poppedboy/bovrilchant/downloads/32.bmp

hxxps://c.statcounter.com/12830663/0/0ee00a3c/1/

hxxps://bitbucket.org/noelvisor/burdennetted/downloads/

C2:

（已失效）

82.118.27.129:80

web-oauth.com

[2] https://blogs.blackberry.com/en/2017/05/baijiu

[3] https://ti.qianxin.com/blog/articles/operation-dragon-dance-the-sword-of-damocles-hanging-over-the-gaming-industry/