1
概述
Konni APT 组织据悉由特定政府提供支持,自 2014 年以来一直持续活动,该组织长期针对俄罗斯、韩国等地区进行定向攻击活动,其擅长使用社会热点话题对目标进行鱼叉式网络钓鱼攻击。
微步情报局在近期通过威胁狩猎系统捕获到的多起Konni对韩攻击活动中,分析发现以下情况:
在2024年4月中旬至7月初期间,KONNI组织对韩国RTP工程部以及涉及税务、对朝市场的分析人员发起了攻击。该组织使用了以“会议材料”、“逃税漏税”和“市场价格”等韩文主题为诱导的恶意样本进行攻击;
Konni组织利用自动化工具批量生成恶意样本,这些样本均在2023年12月25日11:39:35同一时刻生成,但在2024年不同时间段进行针对性投递。推测使用脚本工具依据模板生成恶意样本,未发现的实际投递样本可能数量庞大,目前仅发现了6个在野样本,这种样本投递仍十分活跃,最新在野样本在7月6号被发现;
Konni组织使用的恶意样本在执行链中通过失陷网站托管核心载荷,虽然核心载荷的存续时间极短,但是恶意样本在受感染主机上进行了持久化,因此不能排除该组织后续重新启用核心载荷的可能性。此外,核心载荷使用AutoIt3脚本进行免杀,效果极佳,该核心载荷自2024年4月提交以来,多引擎查杀率仍为0。
微步通过对相关样本、IP 和域名的溯源分析,提取多条相关 IOC ,可用于威胁情报检测。微步威胁感知平台 TDP 、威胁情报管理平台 TIP 、威胁情报云 API 、云沙箱 S、沙箱分析平台 OneSandbox、互联网安全接入服务 OneDNS 、威胁防御系统 OneSIG 、终端安全管理平台 OneSEC 等均已支持对此次攻击事件和团伙的检测。
2
团伙分析
团伙画像
特点
描述
平台
Window平台
攻击目标
韩国RTP工程部以及涉及税务、对朝市场研究的人员
攻击地区
韩国
攻击目的
信息收集活动
攻击向量
Lnk文件、AutoIt免杀脚本
在此次入侵行动中,Konni组织通过两种方式隐藏恶意行为:
使用失陷站托管恶意载荷:相关载荷的持续时间极短,目前仅捕获到一个核心载荷。然而,由于钓鱼样本实现了持久化功能,Konni组织仍可以通过感染对应的失陷站,放置相应文件,从而执行核心载荷。
核心载荷为编译后的AutoIt(au3)脚本,免杀率极高:这是因为许多检测引擎尚未掌握处理这种编译文件的执行方式导致,亟需解决以应对这种攻击方式。
编译后的核心载荷使用AutoIt工具读取后执行指令,然后在window系统上执行指定的恶意行为,该工具的官网地址为www.autoitscript.com,如下图所示。
AutoIt是一种用来自动化Windows GUI和通用脚本编程的免费编程语言。它最初是为自动化Windows应用程序的GUI(图形用户界面)而设计的,但随着时间的推移,AutoIt已经发展成了一种功能强大、用途广泛的脚本语言。AutoIt.exe 是 AutoIt 脚本语言的解释器,用于运行用 AutoIt 编写的脚本,通常是 .au3 文件。
Konni在历史攻击中使用的核心AutoIt脚本,在VT引擎检出率均未被检测恶意,如下图所示:
===
3
样本分析
文件名
译文
判断
1. 알티피_엔지니어링본부 사업개발회의 자료.hwp.lnk
1.RTP_工程总部业务发展会议材料.hwp.lnk
恶意
2. 알티피_엔지니어링본부 사업개발회의 요약.pptx
2.RTP_工程总部业务发展会议材料.pptx
正常文件
由于未知原因,恶意文件释放的HWP文件和正常的PPTX文件打开时均显示乱码(如下图所示,左为HWP文件,右为PPTX文件)。然而,LNK文件执行的恶意代码仍能正常运行。
分析文档推测,Konni团伙在拷贝诱饵文件代码时流程出现异常,具体表现为恶意脚本在释放诱饵文档时,原本应对相关文档进行异或解密,但使用的解密密钥却是0x00,显得极不合理(如下图所示)。
对恶意样本进行分析,相关样本信息如下:
sha256
0aaec376904434197bae4f1a10ecfe8d4564d95fdfa8236ea960535710661c5f
sha1
c5d67fb97a7a824168c872f8557eb52f503c9798
MD5
87dc4c8f67cffc8a9699328face923e2
文件类型
lnk文件
文件大小
2.03 MB
文件名称
1. 알티피_엔지니어링본부 사업개발회의 자료.hwp.lnk
(1.RTP_工程总部业务发展会议材料.hwp.lnk)
功能描述
Lnk文件执行PowerShell脚本,下载失陷站托管的恶意载荷并持久化运行
相关流程图如下所示:
该样本会在受感染系统上下载AutoIt3.exe白文件和恶意au3脚本,但直到分析结束时,这些恶意载荷仍未被下载到。通过进一步溯源分析,发现2024年4月出现的攻击样本与此次事件一致,并且能够成功下载到核心载荷。基于此,对该样本进行了如下分析:
sha256
2189aa5be8a01bc29a314c3c3803c2b8131f49a84527c6b0a710b50df661575e
sha1
65f5f7d127c478522e9669200de20000edcb6cfb
MD5
9d6c79c0b395cceb83662aa3f7ed0123
文件类型
lnk文件
文件大小
283 KB
文件名称
첨부1_소명자료 목록(탈세제보).hwp.lnk
(附件1_说明材料清单(逃税举报).hwp.lnk)
功能描述
Lnk文件执行PowerShell脚本,下载失陷站样本并持久化运行
该组织通过伪装成文档的LNK文件进行诱导点击:
相关流程图如下:
当点击LNK文件时会执行poweshell指令,在该指令前存在无意义填充代码,如下图所示。
该PowerShell指令通过微步的情报智脑XGPT去除混淆后,代码如下图所示:
并且XGPT还可以查看代码意义,发现这段代码主要是解密文件、下载载荷和持久化脚本功能。
在vzGyLDmQaW函数中释放hwp格式文档以迷惑受害人员,表格内容大致为(韩国)国税征收法施行细则附件表格,如下图所示:
然后脚本创建隐藏目录,下载执行载荷以及创建任务建立持久化。
具体方式为拷贝window下的curl工具,通过失陷站https[:]//jethropc.com 下载白文件AutoIt3.exe以及恶意脚本QwbpjvdmTA.au3,将之放置到C盘下创建的默认隐藏的随机名称的目录下。
创建无限期每隔1分钟的任务,触发执行au3脚本。
通过逆向QwbpjvdmTA.au3并格式化关键代码,sha256为ff87a87bc552723f4aee3e7b6c75686f9d52754b3bfe7adde9e1218bc764cbc4。该脚本整体功能比较简单,可以称得上是大道至简,主要作用与C&C通信执行命令以及上传/下载文件的任务。
通过互斥体(Global\RT3AN7C9QS-7UYE-9K6G-A8F1-HY8IT3CNMEQP)检测脚本是否单例运行。
通过检测AvastUI和AvastSvc进程检测杀毒软件Avast是否运行,运行与否脚本会采取不同的运行方式。
如果 Avast 进程存在,脚本会等待 30 到 60 秒,拷贝本身文件并在前后插入随机垃圾数据,然后创建新脚本文件放置在C:\Users\Public\Documents\下,删除原有计划任务后,并创建新的计划任务,原脚本文件会被删除,重新启动脚本文件。
如果 Avast 进程不存在,删除原有任务后,脚本会创建一个指向自身的快捷方式,并放入启动目录,以确保在系统启动时自动运行以维持持久化。
然后创建93.183.93.185:57860的socket连接方式,然后循环接受&执行命令。
接受指令的长度为1个字节,使用数字区分指令,有以下四种:
指令类型
操作
通信方式
1(executecmd)
失陷机上执行命令
获取2字节,解析为指定命令长度
再获取该长度字节,转化为字符串命令
使用读写管道断链执行cmd命令
2(upload)
上传文件,黑客端到失陷机
获取4字节,解析为指定文件名称长度
获取该长度字节,转化为名称
再获取4字节,解析为指定文件字节长度
获取该长度字节,转化为文件内容
写入指定名称的文件内容
3(download)
下载文件,失陷机到黑客端
获取4字节,解析为指定文件名称长度
获取该长度字节,转化为名称
查找文件是否存在,若存在
发送4字节,为该文件长度
再发送文件到黑客端
4
无
无
直到分析结束,分析人员仍未接收到相关指令或者文件。
4
关联分析
4.1 拓线信息
通过对该样本的拓线,目前可以发现相关联样本共6个,关键信息如下:
Sha256
文件名
文件创建时间
在野出现时间
载荷失陷站
7887cea2962c954ccb60d005da03abcf
68962517d1b3e3d2a472f5d952a03f8e
2023-12-25 11:39:35
2024-07-06
executivedaytona.com
0aaec376904434197bae4f1a10ecfe8d
4564d95fdfa8236ea960535710661c5f
1. 알티피_엔지니어링본부 사업개발회의 자료.hwp.lnk
2023-12-25 11:39:35
2024-06-28
cavasa.com.co
0329bb5b3a450b0a8f148a57e045bf6e
d40eb49a62e026bd71b021a2efc40aed
2023-12-25 11:39:35
2024-06-02
phasechangesolutions.com
5ea09247ad85915a8d1066d1825061cc
8348e14c4e060e1eba840d5e56ab3e4d
2023-12-25 11:39:35
2024-06-02
phasechangesolutions.com
2189aa5be8a01bc29a314c3c3803c2b8
131f49a84527c6b0a710b50df661575e
첨부1_소명자료 목록(탈세제보).hwp.lnk
2023-12-25 11:39:35
2024-04-23
jethropc.com
ba59f1ece68fa051400fd46467b0dc0a
5294b8644c107646e75d225a45fff015
북한 내부정보/시장통제 관련 내부 동향 및 물가.hwp.lnk
2023-12-25 11:39:35
2024-04-04
可以发现这几个样本的创建时间均为2023-12-25 11:39:35,可以确定Konni在2023年12月创建了恶意文件的模板,然后在2024年使用脚本工具生成恶意lnk文件并进行针对性投放。相关的释放文件如下图所示:
相关失陷站分别如下所示:
其中的phasechangesolutions.com失陷站至今仍存在目录开放漏洞。
附录-IOC
executivedaytona.com
cavasa.com.co
phasechangesolutions.com
jethropc.com
cammirando.com
93.183.93.185
7887cea2962c954ccb60d005da03abcf68962517d1b3e3d2a472f5d952a03f8e
0aaec376904434197bae4f1a10ecfe8d4564d95fdfa8236ea960535710661c5f
0329bb5b3a450b0a8f148a57e045bf6ed40eb49a62e026bd71b021a2efc40aed
5ea09247ad85915a8d1066d1825061cc8348e14c4e060e1eba840d5e56ab3e4d
2189aa5be8a01bc29a314c3c3803c2b8131f49a84527c6b0a710b50df661575e
ba59f1ece68fa051400fd46467b0dc0a5294b8644c107646e75d225a45fff015
行动建议
威胁处置:
清除C盘下可疑随机名称目录,该目录包含重名后的curl.exe文件、重命名后的AutoIt3.exe文件以及后缀为au3名称为随机名称的文件(未转移);
清除C:\Users\Public目录下的可疑随机名称目录,其中包含随机名称名称的bat脚本文件或者启动项中可疑的lnk文件(已转移);
清除可疑的计划任务或者启动项。
安全加固:
不轻易点击未知文件,做好防范;
发现可疑文件及时上报;
不幸点击及时断网,封存设备,等待专业人员进行处理。
- END -
