BabyShark是基于 Microsoft Visual Basic (VB) 脚本的恶意软件系列,用于收集敏感信息。该组件最早发现于2019年,用于针对美国国家安全智库,之后该组件也被用于从事核安全和朝鲜半岛国家安全问题的间谍活动。近日,360高级威胁研究院捕获了一起APT-C-55(Kimsuky)组织利用IBM公司安全产品为诱饵投递BabyShark攻击组件的攻击活动。
在此次攻击活动中,攻击者向目标投递恶意ISO文件,通过BAT脚本安装IBM公司安全产品,同时利用BAT脚本下载恶意载荷,收集目标主机信息。
此次攻击事件中使用的攻击载荷和样本通信格式符合BabyShark组件特征,因此我们将此次攻击事件归属为APT-C-55(Kimsuky)组织。
一、攻击活动分析
1.攻击流程分析
在此次攻击活动中,攻击者利用失陷域nuclearpolicy101[.]org向目标投递名为RapportSetup.iso的恶意文件,ISO文件内包含名为install.bat的恶意BAT脚本以及名为update.exe的 IBM Security Trusteer Rapport安全产品,执行恶意BAT脚本后会安装update.exe,但同时也会从C2下载恶意后门脚本以窃取目标信息。
2.载荷投递分析
在载荷投递方式上,攻击者利用了IBM公司安全产品为诱饵,诱导目标执行恶意BAT脚本,同时也达到投递恶意载荷的目的。
3.攻击组件分析
在初始访问方面,攻击者利用失陷域nuclearpolicy101[.]org向目标投递名RapportSetup的恶意ISO文件,ISO内包含名为install.bat的恶意BAT脚本以及名为update.exe的IBM公司安全产品安装程序。
恶意BAT脚本首先运行update.exe,执行安全产品安装程序。之后利用wmic命令遍历进程,分别搜索Avast安全产品进程avastui.exe和avgui.exe,以及搜索Kaspersky安全产品进程avpui.exe和avp.exe。
在未发现Kaspersky安全产品相关进程情况下,恶意脚本还从http://rapportdown[.]lol/rapport/com/ca.php?na=reg.gif下载另一个恶意脚本保存至c:userspublicvideosvideo.vbs,并通过修改注册表将其设置为启动cmd.exe时自运行。
最后恶意脚本调用mshta程序加载远程https://rapportdown[.]lol/rapport/com/32.hta下的恶意hta脚本。
-
cmd.exe /c whoami -
dir %appdata%Microsoft*.* -
dir C:UsersPublicDesktop*.* -
tasklist
二、归属研判
而以IBM公司安全产品为诱饵的攻击活动中,所释放的包括恶意模板文件和各种恶意脚本特征都符合Kimsuky组织投递BabyShark组件发起攻击的特征,同时以The Burden of the Unintended文章为诱饵的攻击活动中的样本通信格式“.php?na=*.gif”格式和以IBM公司安全产品为诱饵的攻击活动中样本通信格式非常一致,又再次证明该攻击活动是Kimsuky组织利用BabyShark组件发起的。
在本次攻击活动中我们看到攻击者利用安全产品为诱饵诱导目标执行恶意脚本,从而向目标进一步投递恶意载荷,同时我们还发现攻击者利用热点新闻为诱饵发起攻击。这些攻击手法均是以诱惑性载荷诱导用户执行,360高级威胁研究院建议用户通过官方渠道下载所需程序,以及不要打开陌生文档。
4dc1943c6abe3a111a9a35317c3feae0
083fa7ca0ce4184bc832cf8436a1e201
39a328054149bdc08f67bb58751bea2b
057602b3875bac739aec46900d9654e6
7753f37dfbc44815282433f16b56c0ce
7d412ca2addde4493799013cfe072bd6
42931f400211f519ccede867e1d7713c
05c7f9928b6b18cefb68fa2fe59035d3
b49f143f19de6b8c5793c3629272fdbd
eab98db8071e5ac1832b6634da13ed64
55817d3a19bdc98f6466a4f3ac637e12
6956eb082dd4ae26f8d40c1e16aa7927
d3d2265f42ecd36b345bc691c2e20fdd
7ebca576152abb0eadb06f7fcc761c7d
36264cdc129490be44fbe65bf1c7e813
4a838b5b8884eaf536e497cfc2a211bf
848a01cb6f704012af3bf8d56a29a945
a0f744f700e1b81d34c3c8b90dd61dc0
0b8a41ec2711e335559ece59d01d1d37
59ae38308c5eccd90b95677808a8ac92
fa935505e2a9a7de6380ab9447d07d2c
1a1f9683c8a2d32c007eb8306463ed5d
127f459bcefb9f614f03876604928824
ab22a6c2a931096958fef73451546a1b
8ea234d3f714ea83997437fd8bc03c0c
088bbf9fdc9445b44a0ee630d30908c7
c5bdafd9962673a5bc700c273af4a210
http://rapportdown[.]lol/rapport/com/ca.php?na=dot_kasp.gif
http://rapportdown[.]lol/rapport/com/ca.php?na=dot_eset.gif
http://rapportdown[.]lol/rapport/com/ca.php?na=reg.gif http://rapportdown[.]lol/rapport/com/ca.php?na=sh.gif
https://rapportdown[.]lol/rapport/com/32.hta
https://rapportdown[.]lol/rapport/com/ca.php?na=video.gif
https://rapportdown[.]lol/rapport/com/ca.php?na=dot_v3.gif
https://rapportdown[.]lol/rapport/com/02.hta
https://dusieme[.]com/hwp/d.php?na=colegg1.gif
https://dusieme[.]com/hwp/d.php?na=colegg2.gif
https://dusieme[.]com/hwp/d.php?na=colegg3.gif
https://dusieme[.]com/hwp/d.php?na=sched.gif
https://dusieme[.]com/js/cic0117/ca.php?na=dot_emsi.gif
https://dusieme[.]com/panda/d.php?na=vbtmp
360高级威胁研究院
原文始发于微信公众号(360威胁情报中心):APT-C-55(Kimsuky)组织以IBM公司安全产品为诱饵的攻击活动分析
