Kimsuky 是位于朝鲜的APT组织,又名(Mystery Baby, Baby Coin, Smoke Screen, BabyShark, Cobra Venom)等,最早由kaspersky在2013年披露,该组织长期针对于韩国的智囊团、政府外交、新闻组织、教育学术等机构进行攻击,在过去几年里,他们将攻击目标扩大到包括美国、俄罗斯和欧洲在内的国家。主要目的为窃取情报、间谍活动等。该组织十分活跃,常用的攻击载荷为带有漏洞的hwp文件,恶意宏文件,释放载荷的PE文件等。
纵观2021上半年Kimsuky的活动,攻击目标仍以韩国的政府外交、国防军工、大学教授、智囊团为主。相关攻击活动仍以鱼叉邮件投递诱饵文档为主,同时也在积极利用社会热点事件为诱饵进行攻击。
2021上半年Kimsuky使用次数最多的诱饵文档最终目的多数以收集信息为主,我们根据攻击流程将诱饵文档大致分为五类:
类别 | 方式 | 时间 |
第一类 | 直接窃取上传: 直接在VBA代码中收集基本信息上传 | 2020年11月-2020年3月: 问卷调查类文档为主 |
第二类 | 执行powershell脚本窃取上传: VBA代码使用 简单字符串作混淆,去混淆后使用powershell.exe 执行后续脚本,功能为收集基本计算机信息上传 | 2020年6月-今: 社会时事热点为主 |
第三类 | 通过xml窃取信息: 去混淆的数据写入到本机模板目录下的xml文件执行,执行的内容为向远程地址请求数据执行 | 2020年12月-今 今年使用最多: 拜登政府政策、党军事题材为主 |
第四类 | 通过Google博客窃取信息: 释放 desktop.ini 文件,链接到Google博客下载恶意脚本收集信息上传 | 2021年6月-今,使用的新的手法: 使用Google博客存放恶意脚本代码,以会议类、问卷类诱饵为主 |
第五类 | 通过Onedrive网盘窃取信息: 释放version.dll解密脚本后,从Onedrive网盘获取后续载荷,后续载荷最终执行窃取信息的操作 | 2020年12月-今: 今年使用最少: 测试文档为主 |
第一类
参数 | 信息 |
w= | 硬编码的 "chosh3"、"caerang"、"sakim“、"ksskorea”等 |
x64= | "C:\\Program Files"目录信息 |
x86= | "C:\\Program Files (x86)\\"目录信息 |
r= | 文件历史记录信息 |
msv= | Office 版本信息 |
un= | 用户名 |
os= | 系统版本信息 |
sv= | 系统版本号信息 |
图:韩国退休外交官、研究员
这一阶段当受害者启用宏后,VBA代码将base编码的数据保存到 AppData\Roaming目录下的 desktop.ini 执行,同时在启动目录创建了名为 iexplore.exe.lnk的快捷方式,目标指向 \Microsoft\desktop.ini,以实现持久化。
参数 | 信息 |
r | 最近访问记录 |
un | 用户名 |
os | 系统版本 |
sv | 系统版本号信息 |
dnv | net framework 版本信息 |
msv | office版本信息 |
dll | 桌面目录信息 |
tll | 任务栏快捷方式 |
article_name | name | 方向 | 身份 | |
donavyk | 金东烨 | donavyk@hanmail.net / donavyk@gmail.com | 朝鲜军事、核问题 | 庆南大学远东研究所教授/朝鲜研究会理事 |
dootakim | 金妍哲 | dootakim@hanmail.net | 朝鲜局势、军事、核问题等 | 韩国研究院院长/仁济大学统一学部教授 |
今年我们还发布了 "Kimsuky组织网络攻击活动追溯分析报告"披露了一批Kimsuky网络攻击武器与测试样本,5月份我们又发现了一起相关的攻击测试活动。
此次攻击从一个诱饵文档开始,当受害者启用文档的宏后,后续载荷将通过OneDrive云盘和被黑网下发恶意荷载,并动态执行控制命令和恶意VBS脚本收集用户信息。
version.dll:
6C1E.vbs:
mac11_ver.txt:
& timeout 5 & \"%appdata%\\aqz.bat\"" 下载 下一阶段的载荷aqz.bat并执行。
aqz.bat:
这次的攻击测试活动和我们上次报告中提到的流程区别并不大,可以看出Kimsuky的攻击非常喜欢第三方云盘和和被黑网站作为攻击基础设施,并且善于使用各种脚本如vbs、bat等组成的攻击链。
今年三月份,我们捕获到了一批Gold Dragon活动的样本,样本伪装成韩办公软件Hancom Office 组件hancon.dll。由于样本被批量上传至平台,并有很多不同的加壳版本,我们猜测这批样本可能为攻击者测试使用,经过我们对hancom.dll 的溯源关联,我们又关联到了较新的一批hancom.dll组件。
攻击仍从一个文档开始,当受害者打开诱饵文档并启用宏后,vba代码将从远程链接下载解压并执行第一阶段的loader,loader下载释放hancom.dll后调用其导出函数执行,随后收集信息至PI_000.dat、PI_001.dat,然后从自身解密数据,创建傀儡进程svchost.exe注入执行,这一步将收集的键盘记录信息并将收集的信息进行加密,随后再次从自身解密数据,注入到傀儡进程iexplorer.exe执行,这一步将登录被盗的daum邮箱,通过文件映射,将加密的数据通过邮件的方式发送给攻击者。
Kimsuky 作为朝鲜 APT 组织之一,攻击活动十分频繁,擅长使用社会热点事件作为诱饵,攻击目标主要针对韩国的政府外交、国防统一、企业大学等。
一类诱饵:
d7b717134358bbeefc5796b5912369f0
6a614ca002c5b3a4d7023faffc0546e1
bce51419fae8acbeff3149ca53f8baad
49a04c85555b35f998b1787b325526e6
c9f23b6ee1ba97c753892e6c103521d6
5b2355014f72dc2714dc5a5f04fe9519
8ca84c206fe8436dcc92bf6c1f7cf168
d725efd437d26e01e3b64e722929c01e
0d36f4f5a1f7bc7d89fbda02be7c2336
86c462b8ceffbc10018df2c32e024b29
208a3b4565d3041d09448a23a80edf1c
http://connectter[.]atwebpages[.]com/2612/download[.]php?
http://majar[.]medianewsonline[.]com/0812/1[.]php?
http://majar[.]medianewsonline[.]com/0812/1[.]php?
http://eucie09111[.]myartsonline[.]com/0502/v[.]php?
http://hanlight[.]mygamesonline[.]org/2403/v[.]php?
http://ftcpark59[.]getenjoyment[.]net/1703/v[.]php?
二类诱饵:
dfbe17d9dfa3f3bb715e1d8348bd1f50
dc5fa08c7e2bb959042f5572c91ada5e
1269e2b00fd323a7748215124cb058cd
9d3b4e82d2c839ffc2887946fb204615
5973ba270e9b5ea57c138245ffc39552
af3288ed7853865d562ccd1f48fa4a16
199674e87f437bdbd68884b155346d25
http://manct[.]atwebpages[.]com/ck/uy[.]txt
http://fabre[.]myartsonline[.]com/ys/ha[.]txt
http://rukagu[.]mypressonline[.]com/le/yj[.]txt
http://quarez[.]atwebpages[.]com/ny/ui[.]txt
http://quarez[.]atwebpages[.]com/ny/post[.]php
http://quarez[.]atwebpages[.]com/ds/le[.]txt
http://waels[.]onlinewebshop[.]net/st/wa[.]txt
http://pootball[.]medianewsonline[.]com/ro/ki[.]txt
三类诱饵:
04a0505cc45d2dac4be9387768efcb7c
d3a317dd167cfa77c976fa9c86c24982
d8e817abd5ad765bf7acec5d672cbb8d
4886f89546c422f5e04c2da33090a201
0a68d6a3d0aa9c5a3a4485d314ea8372
c6437d685f4a489c867b4d2b68f07f1a
36ad6b5775ac550a36f56467051d2c03
ec3f771c71a24c165697e26e136daa4a
9ee9dacd6703c74e959a70a18ebb3875
1670bb091dba017606ea5e763072d45f
21b72a6ed58db07a7f7c16372c3422e2
41aba3f7a154fb209beba0e36e6ef3ab
68a1cc84de7d5802b7251786a8a5da0c
a9b6cf8d8d0a67da4eea269dab16fe99
fe4dd316363d3631c83c2995dd3775f4
http://yanggucam[.]designsoup[.]co[.]kr/user/views/board/skin/secret/css/list[.]php?query=1
http://samsoding[.]homm7[.]gethompy[.]com/plugins/dropzone/min/css/list[.]php?query=1
http://www[.]mechapia[.]com/_admin/nicerlnm/web/style/list[.]php?query=1
http://miracle[.]designsoup[.]co[.]kr/user/views/resort/controller/css/update/list[.]php?query=1
http://cwda[.]co[.]kr/theme/basic/skin/new/basic/update/list[.]php?query=1
http://cwda[.]co[.]kr/theme/basic/skin/new/basic/update/Normal[.]dotm?q=6
http://heritage2020[.]cafe24[.]com/plugin/kcpcert/bin/list[.]php?query=1
http://www[.]inonix[.]co[.]kr/kor/page/product/_notes/list[.]php?query=1
http://www[.]inonix[.]co[.]kr/kor/page/product/_notes/tmp/?q=6
http://beilksa[.]scienceontheweb[.]net/cookie/select/log/list[.]php?query=1
http://beilksa[.]scienceontheweb[.]net/cookie/select/log/tmp?q=6
http://www[.]inonix[.]co[.]kr/kor/board/widgets/mcontent/skins/tmp?q=6
http://koreacit[.]co[.]kr/skin/new/basic/update/temp?q=6
https://reform-ouen[.]com/wp-includes/css/dist/nux/dotm/dwn[.]php?id=0119
http://www[.]anpcb[.]co[.]kr/plugin/sns/facebook/src/update/normal[.]dotm?q=6
http://beilksa[.]scienceontheweb[.]net/cookie/select/log/tmp?q=6
四类诱饵:
0821884168a644f3c27176a52763acc9
95c92bcfc39ceafc1735f190a575c60c
http://wbg0909[.]scienceontheweb[.]net/0412/download[.]php?
https://smyun0272[.]blogspot[.]com/2021/06/dootakim[.]html
http://alyssalove[.]getenjoyment[.]net/0423/v[.]php?
五类诱饵:新的诱饵文档测试活动:
e3e40b3eaefeb0c63dd449087a8988ef
FE3AD944D07B66C83DC433C39FC054F4
D79C92CC5AB70B61B2E174256577EA3A
9E0B68D23D36A6D276BA204BD8377120
12047FD5EF345CE53C92324357BDFFBE
27EE7CF37FFFFF7809E806F2462AEB00
FA935505E2A9A7DE6380AB9447D07D2C
https://1ive[.]me/ww/mac/0526_sim/d[.]php?na=version[.]gif
https://onedrive[.]live[.]com/?authkey=%21APtP1%2DAyXU4q3Gg&cid=EA63197CF6E2BF62&id=EA63197CF6E2BF62%21171&parId=root&o=OneUp
https://worldinfocontact[.]club/111/mac3[.]php?na="username"
https://worldinfocontact[.]club/111/bill/cow[.]php?op=1drop[.]bat
https://worldinfocontact[.]club/111/bill/expres[.]php?op=2
http://nuclearpolicy101[.]org/wp-admin/includes/0421/d[.]php?na=dot[.]gif
http://nuclearpolicy101[.]org/wp-admin/includes/0421/d[.]php?na=vbtmp
hancom
15ec5c7125e6c74f740d6fc3376c130d
3ecc65085a91044a119abce4f0c0d4de
ec19cd77170b6ac8772c5799fdd88852
11ac8609d64e5a5ade83eff92e4f1314
1d30dfa5d8f21d1465409b207115ded6
37e4865de72c3169d591e16ef8823676
e69294040dab044805c9d7c47fef4844
cf5815a1f635dca148ccffeb074b64d5
c9dae2b42f0b28631dc314a74fa2177f
0629fd238259d7df7aa22ca82ac6b93e
425f291cbaee9b44214057642db271a5
0e998937644007904f27a1eaffe32df5
7a67b8c387f24b782e46601634165681
6ec77913e6a359ee4e62909e28c08f1d
2399df3a222032c188a22df52a49384a
d73239230625afd2d9fa6cce1c6c022c
4a139f6888790f059ff5e19056ca5664
71e480edcb51a02b8460ccc9b2dfa272(doc)
72d43ff8f9ee0819e96ed7fd7d9a551a(wieb.dat)
7f8a4e0dca2e18121af505d9198d81d1(cvwiq.zip)
523b3401b0fb0e8aec9be70f57686840(hancom_vmp_zip)
4a139f6888790f059ff5e19056ca5664(hancom_vmp)
http://kr2959[.]atwebpages[.]com/view.php?id=2
http://kr2959[.]atwebpages[.]com/view[.]php?id=21504
klsa[.]onlinewebshop.net
攻击者邮箱:
flower9801@hanmail.net
可能为被盗邮箱/ID:
nk_biz_forum
applebox31@daum.net
daeknmoon@daum.net
shin.kyungjin@daum.net