长亭百川云 - 文章详情

假面之下:Konni组织冒充政府软件安装包攻击剖析

360威胁情报中心

57

2024-07-13

Konni是一个活跃于朝鲜半岛的APT组织,其主要针对俄罗斯、韩国以及周边国家地区的政府机构进行网络攻击活动,以窃取敏感信息为主。该组织的攻击活动最早可追溯到2014年,近年来活动频繁,被数个国内外安全团队持续追踪和披露。

近期,360高级威胁研究院发现该组织使用MSI载荷进行攻击,这类载荷在Konni之前攻击中很少使用,未被公开披露过。鉴于此,本文主要对此类伪装成政府安装包的样本进行分析,以便用户及时发现,避免中招。在本轮攻击中,Konni组织使用具有诱导性的文件名,如SpravkiBKsetup.msi,在运行MSI程序会释放正确的软件安装程序以迷惑用户,其恶意行为在后台静默执行,从而导致受害者中招,达到窃密目的。

 一、恶意载荷分析 

通过对Konni组织的持续追踪,我们捕获了多个Konni组织借助安装包进行投毒的恶意样本,下表是最近捕获的一个样本。

MD5

b896c2b2ae51f7100a342c73f5062896

文件大小

4.22 MB (4422144字节)

文件类型

MSI

捕获时间

2024-01-11

该安装包伪装成一款俄罗斯外交部使用的数据统计软件,根据统计可打印和生成关于所执行领事行动的年度报告,点击安装如下所示。

安装完成后,其软件正常程序、使用说明及恶意程序等都会释放到目录C:\Program Files (x86)\ConsulSoft\StatRKZU\下,该软件的使用说明如下所示。

另外该软件运行后需要用户点击进行UAC权限提升,由于正常软件安装也常常需要用户授权,故受害者往往在不知不觉中为恶意代码提供了便利。成功安装后,释放的恶意程序已经在后台具有高权限静默执行,首先执行install.vbs,该程序对install.cab解压,并根据系统位数重命名dll,然后执行其中的wiasvc.bat。    

wiasvc.bat的功能是将本目录的wiasvc.dll和wiasvc.ini拷贝到系统目录system32下,并在本目录删除。然后创建名为“wiasvc”的服务,描述信息为“Windows Image Acquisition Service”,执行程序为wiasvc.dll,最后启动服务,以此实现驻留。

其wiasvc.dll(md5:ae2cc3f595b08d1aa27cb059bd166636)功能经过分析,发现本次载荷与我们之前关于该组织的分析报告(https://mp.weixin.qq.com/s/RHbsCLzahLP0zGgC3N5pPQ)里的组件相似,流程如下。    

执行时先对配置文件wiasvc.ini进行解密,其中wiasvc.ini的前16个字节为IV(“6810D356CF0D0C7FC4452CAAD4CBC864”),其余内容是加密之后的C2服务器地址,Key为服务名的Hash256值,使用AES-CTR解密得到C2服务器地址如下所示:

解密得到多个C2地址,经分析实际第一个“victory-2024.mywebcommunity.org”有效,其余均为DGA,还未注册。但是恶意样本在连接域名时,会判断是否连接成功,如果连接失败,会逐步连接下一个域名。这样可以防止某个C2失效后,能够注册新的内置域名继续后续控制,这里解密出的C2与之前分析的组件有一定区别,之前解密的C2只有1个地址。

接着将获取的基本信息上传到“http://victory-2024.mywebcommunity.org /up.php?name={HostName}”,等待服务器响应执行相关指令,指令信息如下,相关功能可参见之前的分析。    

此外,相比之前版本,本次增加了对文件格式为“.7z”、 “.docx”、“.xlsx”的文件直接加密上传,否则使用makecab进行打包后再加密上传。这或许是因为docx和xlsx类型文件本质为压缩包类,无需再进行压缩。

 二、关联分析 

在2023年10月份,我们当时就捕获过Konni组织使用的这类MSI载荷,介于两者样本类似,这里一并进行分析说明。

MD5

78b3290a93de62116e083eb7c9b93b22

0018e7e7613bd92b9dc23b9d4db59fa8

文件类型

MSI

文件名

SpravkiBKsetup_ver._2.5.msi

捕获时间

2023-10-10

Spravki BK是俄罗斯联邦政府推出的一款用于填写收入、支出、财产及财产相关义务证明的专用软件,可以从官网下载,通过对本次捕获的安装包和从官网下载的安装包进行比较,发现增加了部分恶意文件,如下所示(左为恶意安装包,右为官方安装包)。

默认安装目录为“C:\Program Files (x86)\СправкиБК\”, 下图为运行界面。    

安装程序会执行释放的wapsvc.bat文件,该脚本和上面分析的类似,执行时创建名为“wapsvc”的服务,描述信息为“Wireless Application Protocol Service”,执行程序为wapsvc.dll,其具体功能不再叙述。

总结

Konni组织在本轮攻击中伪装成MSI安装程序下发恶意组件,由于会释放正常的安装程序,这会导致很多安全意识不高的用户不容易察觉。此外,攻击者加密内置了多个C2,并且在上传信息时会判断C2是否连接成功,这有助于用户在某个C2曝光后,能快速转换到新的C2。该类攻击武器在Konni以往攻击中并不多见,近期才开始逐步投递使用,这也可以看出该组织在更新和迭代其武器库方面保持着一定的频率。后续我们也将持续关注该组织的最新攻击活动。

在这里提醒用户加强安全意识,切勿执行未知样本或点击来历不明的链接等操作。这些行为可能导致系统在没有任何防范的情况下被攻陷,从而导致机密文件和重要情报的泄漏。

附录 IOC

MD5:

b896c2b2ae51f7100a342c73f5062896    

46d0e446d646ef828810894660365a16

5adaa9a9f0ac2e874e0c6d469650c417

66f6a7c5ebbabe401e72c77c6aa5b727

ae2cc3f595b08d1aa27cb059bd166636

b4e7a18329a77cc1c551c84604b1d511

78b3290a93de62116e083eb7c9b93b22

03eb33df7e07e090c788e1fbede8b861

2ef58336c6105f035fe560b77bc869fd

b42d99e209f6d0ddbaa04b7974967685

0018e7e7613bd92b9dc23b9d4db59fa8

Domain:

victory-2024.mywebcommunity[.]org

3cym4ims.medianewsonline[.]com

j1p75639.medianewsonline[.]com

99695njd.myartsonline[.]com

mhhnv7s9.myartsonline[.]com

g66nzt8q.mygamesonline[.]org

p593d8g9.mygamesonline[.]org

mbfasq54.mypressonline[.]com

tl2j38w9.mypressonline[.]com

t8nptw2h.mywebcommunity[.]org

w9uzs9la.mywebcommunity[.]org

zcvbm1zv.onlinewebshop[.]net

zomfaa9a.onlinewebshop[.]net

694qf6w8.scienceontheweb[.]net

24ev0apa.scienceontheweb[.]net

c6cdg4su.sportsontheweb[.]net

5s6bqbea.sportsontheweb[.]net

jbkza9h7.atwebpages[.]com

88zr7cua.atwebpages[.]com

p8tebfel.getenjoyment[.]net

cor8xcib.getenjoyment[.]net

ykcchu.c1[.]biz

skjq5w.c1[.]biz

53qb7q.c1[.]biz

sqp811.c1[.]biz

afrcoh.c1[.]biz

olhugh.c1[.]biz

rvnrjj.c1[.]biz

hsjzzf.c1[.]biz

rcox0j.c1[.]biz

5l0lw0.c1[.]biz    

psr76y.c1[.]biz

z7ibqa.c1[.]biz

6wq8ci.c1[.]biz

j5p841.c1[.]biz

p1hkta.c1[.]biz

s3erh6.c1[.]biz

nn2s21.c1[.]biz

a8ng1x.c1[.]biz

m6d8s5.c1[.]biz

0c3qyu.c1[.]biz

参考

https://mp.weixin.qq.com/s/RHbsCLzahLP0zGgC3N5pPQ    

360****高级威胁研究院

360高级威胁研究院是360数字安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2