假面之下:Konni组织冒充政府软件安装包攻击剖析
Konni是一个活跃于朝鲜半岛的APT组织,其主要针对俄罗斯、韩国以及周边国家地区的政府机构进行网络攻击活动,以窃取敏感信息为主。该组织的攻击活动最早可追溯到2014年,近年来活动频繁,被数个国内外安全团队持续追踪和披露。
近期,360高级威胁研究院发现该组织使用MSI载荷进行攻击,这类载荷在Konni之前攻击中很少使用,未被公开披露过。鉴于此,本文主要对此类伪装成政府安装包的样本进行分析,以便用户及时发现,避免中招。在本轮攻击中,Konni组织使用具有诱导性的文件名,如SpravkiBKsetup.msi,在运行MSI程序会释放正确的软件安装程序以迷惑用户,其恶意行为在后台静默执行,从而导致受害者中招,达到窃密目的。
一、恶意载荷分析
通过对Konni组织的持续追踪,我们捕获了多个Konni组织借助安装包进行投毒的恶意样本,下表是最近捕获的一个样本。
MD5
b896c2b2ae51f7100a342c73f5062896
文件大小
4.22 MB (4422144字节)
文件类型
MSI
捕获时间
2024-01-11
该安装包伪装成一款俄罗斯外交部使用的数据统计软件,根据统计可打印和生成关于所执行领事行动的年度报告,点击安装如下所示。
安装完成后,其软件正常程序、使用说明及恶意程序等都会释放到目录C:\Program Files (x86)\ConsulSoft\StatRKZU\下,该软件的使用说明如下所示。
另外该软件运行后需要用户点击进行UAC权限提升,由于正常软件安装也常常需要用户授权,故受害者往往在不知不觉中为恶意代码提供了便利。成功安装后,释放的恶意程序已经在后台具有高权限静默执行,首先执行install.vbs,该程序对install.cab解压,并根据系统位数重命名dll,然后执行其中的wiasvc.bat。
wiasvc.bat的功能是将本目录的wiasvc.dll和wiasvc.ini拷贝到系统目录system32下,并在本目录删除。然后创建名为“wiasvc”的服务,描述信息为“Windows Image Acquisition Service”,执行程序为wiasvc.dll,最后启动服务,以此实现驻留。
其wiasvc.dll(md5:ae2cc3f595b08d1aa27cb059bd166636)功能经过分析,发现本次载荷与我们之前关于该组织的分析报告(https://mp.weixin.qq.com/s/RHbsCLzahLP0zGgC3N5pPQ)里的组件相似,流程如下。
执行时先对配置文件wiasvc.ini进行解密,其中wiasvc.ini的前16个字节为IV(“6810D356CF0D0C7FC4452CAAD4CBC864”),其余内容是加密之后的C2服务器地址,Key为服务名的Hash256值,使用AES-CTR解密得到C2服务器地址如下所示:
解密得到多个C2地址,经分析实际第一个“victory-2024.mywebcommunity.org”有效,其余均为DGA,还未注册。但是恶意样本在连接域名时,会判断是否连接成功,如果连接失败,会逐步连接下一个域名。这样可以防止某个C2失效后,能够注册新的内置域名继续后续控制,这里解密出的C2与之前分析的组件有一定区别,之前解密的C2只有1个地址。
接着将获取的基本信息上传到“http://victory-2024.mywebcommunity.org /up.php?name={HostName}”,等待服务器响应执行相关指令,指令信息如下,相关功能可参见之前的分析。
此外,相比之前版本,本次增加了对文件格式为“.7z”、 “.docx”、“.xlsx”的文件直接加密上传,否则使用makecab进行打包后再加密上传。这或许是因为docx和xlsx类型文件本质为压缩包类,无需再进行压缩。
二、关联分析
在2023年10月份,我们当时就捕获过Konni组织使用的这类MSI载荷,介于两者样本类似,这里一并进行分析说明。
MD5
78b3290a93de62116e083eb7c9b93b22
0018e7e7613bd92b9dc23b9d4db59fa8
文件类型
MSI
文件名
SpravkiBKsetup_ver._2.5.msi
捕获时间
2023-10-10
Spravki BK是俄罗斯联邦政府推出的一款用于填写收入、支出、财产及财产相关义务证明的专用软件,可以从官网下载,通过对本次捕获的安装包和从官网下载的安装包进行比较,发现增加了部分恶意文件,如下所示(左为恶意安装包,右为官方安装包)。
默认安装目录为“C:\Program Files (x86)\СправкиБК\”, 下图为运行界面。
安装程序会执行释放的wapsvc.bat文件,该脚本和上面分析的类似,执行时创建名为“wapsvc”的服务,描述信息为“Wireless Application Protocol Service”,执行程序为wapsvc.dll,其具体功能不再叙述。
总结
Konni组织在本轮攻击中伪装成MSI安装程序下发恶意组件,由于会释放正常的安装程序,这会导致很多安全意识不高的用户不容易察觉。此外,攻击者加密内置了多个C2,并且在上传信息时会判断C2是否连接成功,这有助于用户在某个C2曝光后,能快速转换到新的C2。该类攻击武器在Konni以往攻击中并不多见,近期才开始逐步投递使用,这也可以看出该组织在更新和迭代其武器库方面保持着一定的频率。后续我们也将持续关注该组织的最新攻击活动。
在这里提醒用户加强安全意识,切勿执行未知样本或点击来历不明的链接等操作。这些行为可能导致系统在没有任何防范的情况下被攻陷,从而导致机密文件和重要情报的泄漏。
附录 IOC
MD5:
b896c2b2ae51f7100a342c73f5062896
46d0e446d646ef828810894660365a16
5adaa9a9f0ac2e874e0c6d469650c417
66f6a7c5ebbabe401e72c77c6aa5b727
ae2cc3f595b08d1aa27cb059bd166636
b4e7a18329a77cc1c551c84604b1d511
78b3290a93de62116e083eb7c9b93b22
03eb33df7e07e090c788e1fbede8b861
2ef58336c6105f035fe560b77bc869fd
b42d99e209f6d0ddbaa04b7974967685
0018e7e7613bd92b9dc23b9d4db59fa8
Domain:
victory-2024.mywebcommunity[.]org
3cym4ims.medianewsonline[.]com
j1p75639.medianewsonline[.]com
99695njd.myartsonline[.]com
mhhnv7s9.myartsonline[.]com
g66nzt8q.mygamesonline[.]org
p593d8g9.mygamesonline[.]org
mbfasq54.mypressonline[.]com
tl2j38w9.mypressonline[.]com
t8nptw2h.mywebcommunity[.]org
w9uzs9la.mywebcommunity[.]org
zcvbm1zv.onlinewebshop[.]net
zomfaa9a.onlinewebshop[.]net
694qf6w8.scienceontheweb[.]net
24ev0apa.scienceontheweb[.]net
c6cdg4su.sportsontheweb[.]net
5s6bqbea.sportsontheweb[.]net
jbkza9h7.atwebpages[.]com
88zr7cua.atwebpages[.]com
p8tebfel.getenjoyment[.]net
cor8xcib.getenjoyment[.]net
ykcchu.c1[.]biz
skjq5w.c1[.]biz
53qb7q.c1[.]biz
sqp811.c1[.]biz
afrcoh.c1[.]biz
olhugh.c1[.]biz
rvnrjj.c1[.]biz
hsjzzf.c1[.]biz
rcox0j.c1[.]biz
5l0lw0.c1[.]biz
psr76y.c1[.]biz
z7ibqa.c1[.]biz
6wq8ci.c1[.]biz
j5p841.c1[.]biz
p1hkta.c1[.]biz
s3erh6.c1[.]biz
nn2s21.c1[.]biz
a8ng1x.c1[.]biz
m6d8s5.c1[.]biz
0c3qyu.c1[.]biz
参考
https://mp.weixin.qq.com/s/RHbsCLzahLP0zGgC3N5pPQ
360****高级威胁研究院
360高级威胁研究院是360数字安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。
