鲨鱼的狂欢 — APT-C-55 Kimsuky组织近期BabyShark组件披露

1.攻击流程

通过BabyShark组件历史攻击可以知道前期通过诱饵文档来释放或下载后续恶意DLL，本次诱饵文档暂未捕获。攻击者利用恶意DLL释放VBS脚本文件，请求地址hxxps://api.onedrive.com/v1.0/drives/+path1+/items/+path2+select=id%2C%40content.downloadUrl+authkey获取后续请求地址hxxps://qizzhq.dm.files.1drv.com/y4mz739xHv5A59pON-9E5_f3U7qk1a-Jzwn-C_K-JA3A72_w-5vXa9zAx_YMJfIRdU4，请求上述地址获取到加密数据，利用VBS脚本解密后执行，最后收集用户相关信息上传至APT组织服务器ielsems[.]com。

2.样本分析

DllMain函数中创建两个线程，线程1 解密base64数据并执行，线程2 检查安博士v3组件。

线程1：

    解密base64数据并调用WinExec执行。

    解密后的脚本掺杂着大量混淆字符，以无法正常阅读。通过解混淆操作后还原代码：

    脚本功能为请求C&C（hxxps://api.onedrive.com/v1.0/drives/+path1+/items/+path2+select=id%2C%40content.downloadUrl+authkey）获取后续URL。

请求结果：

脚本通过正则表达式匹配获取域名*.1drv[.]com，检测字符串是否匹配给定的正则表达式。

请求访问获取后续载荷：

获取到文本文件，内容已经被加密。

调用VBS脚本函数Co00进行解密，解密函数和历史Kimsuky样本是一致的解密算法。

脚本功能为收集用户名，拼接发送到hxxps://ielsems.com/cic/macro.php?na=+用户名，访问后显示ok,推测攻击者在收集用户基本信息后针对特定目标进行精准攻击。

线程2  ：

    查找49B46336-BA4D-4905-9824-D282F05F6576窗口实际为安博士杀软v3组件，找到之后也只是做了隐藏窗口的处理，并没有结束操作。这个类名在以往 GoldDragon的活动中经常使用。

在日常高价值样本狩猎中还发现了与此次攻击行动相关的组件，7de6969f867aada10c175e9d4328942e样本为上述攻击流程的后续载荷，虽然不是本次攻击链条的后续样本，但是通过我们历史发布的报告（https://mp.weixin.qq.com/s/og8mfnqoKZsHlOJdIDKYgQ）可以确认是该攻击链的后续样本,详细对比在关联分析中展开讨论。

VBS脚本功能简述:

1.判断如果%appdata%目录下存在dsektop.tmp，则进行解密数据后执行，最终删除文件dsektop.tmp，如果不存在则请求地址worldinfocontact[.]club获取desktop.tmp，并保存至%appdata%目录下。

2.添加注入表键值AppXr1bysyqf6kpaq1aje5sbadka8dgx3g4g写入请求dsektop.tmp代码。

3.获取VBS脚本参数，进行替换操作后，执行参数并保存至userprofile%Microsoftsys.vbs

4.添加计划任务调用wscript.exe执行sys.vbs并读取注册表AppXr1bysyqf6kpaq1aje5sbadka8dgx3g4g内容，每隔29分钟执行1次

5.删除当前脚本

3.武器升级

本次还捕获到一个迭代版本的BabyShark组件样本,没有完整捕获到该样本流程链中的其他样本,通过特征可以确认为BabyShark相关组件。

样本4bb1827e37223b674ab7270f7b7bbb4d与之前披露的BabyShark组件的初始阶段载荷version_hwp.dll、version.dll导出函数相同（https://mp.weixin.qq.com/s/pkCK1ryXvGWFuoHQk9Rahg）,且PDB路径H:HIJACKINGOneDrive_HijackinggoogleDrive_rat_load_completegoogleDrive_rat_load_completerat_loadReleaserat_load.pdb与近期披露的BabyShark组件路径吻合。通过编译时间戳可以推测为武器升级迭代。

    该DLL导出函数与历史Kimsuky样本导出函数一致。

    DllMian主要实现拼接字符串“C:Users用户名AppDataRoamingMicrosoftdesktop.r5u”并读取文件desktop.r5u（这里没有捕获到上一层释放的样本）并判断是否读取到文件流，如读取到继续执行流程，没有读取到则结束整个流程。

    读取文件内容后，申请空间写入读取到的文件内容。

    解密流程异或0xFFF：

    在目录下C:Users用户名AppDataRoamingMicrosoft创建log.txt文件，记录一个阶段载荷加载记录。并调用加载下一阶段载荷。

4.关联分析

本次披露样本与之前披露BabyShark组件代码有相似的流程攻击链,本次攻击链与历史攻击差异处在于两点，一是在请求目标不同，历史初次请求目标域名为onedrive.live.com，本次攻击初次请求目标域名api.onedrive.com,二是本次攻击链在请求第一次域名获取到的为后续短链接域名qizzhq.dm.files.1drv.com。利用短链接再请求后续数据,增强其溯源难度。

本次样本在收集用户信息后,没有针对特定用户下载样本的后续操作,但是结合之前披露的攻击链可以知道，后续样本收集用户信息后会进一步请求后续载荷。下图为本次BabyShark组件攻击链条结合之前披露的历史BabyShark组件攻击链合成的完整攻击链，红色框为本次攻击链路图,组件1(7de6969f867aada10c175e9d4328942e)在整个攻击流程内位置如下图所示。

本次攻击链使用解密算法与之前披露的BabyShark组件解密算法一致。

通过之前披露的BabyShark组件样本，可以确定组件7de6969f867aada10c175e9d4328942e为后续阶段样本。对比后可以发现7de6969f867aada10c175e9d4328942e样本与历史披露的BabyShark组件的第四阶段样本代码相同，且访问相同地址worldinfocontact[.]club请求后续载荷。

样本4bb1827e37223b674ab7270f7b7bbb4d与之前披露的BabyShark初始阶段的载荷version_hwp.dll、version.dll导出函数相同。且从编译时间来看样本4bb1827e37223b674ab7270f7b7bbb4d为version_hwp.dll、version.dll迭代升级版本。

且样本4bb1827e37223b674ab7270f7b7bbb4d PDB路径H:HIJACKINGOneDrive_HijackinggoogleDrive_rat_load_completegoogleDrive_rat_load_completerat_loadReleaserat_load.pdb与披露的BabyShark组件pdb路径部分相同,确认为BabyShark组件样本，后续捕获到完整攻击链后会继续披露。

https://mp.weixin.qq.com/s/og8mfnqoKZsHlOJdIDKYgQ

https://www.huntress.com/blog/targeted-apt-activity-babyshark-is-out-for-blood

原文始发于微信公众号（360威胁情报中心）：鲨鱼的狂欢 — APT-C-55 Kimsuky组织近期BabyShark组件披露