FaCai团伙利用APT技术针对国内的攻击活动分析

1

概述

自微软默认禁用了来自互联网的文档中的Office宏之后，其他类型的恶意负载如JavaScript、MSI文件、LNK对象和ISO文件的使用量就开始急剧上升。然而此类恶意代码容易被杀毒软件查杀，有很高的被检测到的可能性。于是攻击者寻求利用新的、未公开的感染手段来获得访问权限，同时规避检测。

近日，朝鲜威胁行为者Kimsuky在活动中利用了MSC文件，该文件在初次上传到VirusTotal平台时，检出为恶意样本的引擎为零。随后，国外安全人员将此类利用特定技术执行任意代码的MSC文件称为GrimResource。

安恒研究院猎影实验室在日常威胁情报狩猎中捕获了同类型利用MSC文件针对国内用户的攻击活动。此类MSC文件利用apds.dll库中存在的XSS漏洞，在mmc.exe的上下文中执行任意Javascript代码，最终加载多阶段负载，实现对本机的远程控制攻击。

安恒研究院猎影实验室在对相关恶意样本进行溯源关联后发现，该样本疑似来自国内黑产团伙“FaCai”，该团伙于2024年4月披露，主要使用魔改的Gh0st远控木马，通信流量包含大量“6666.6”字符串特征。该团伙在初期主要使用伪装成文档的PE文件直接引诱目标运行，中期逐渐转向使用MSI文件。近日，MSC文件利用初兴，我们便捕获到了来自该团伙的多枚MSC攻击样本。

本次捕获的MSC样本加载流程如下：

2

样本分析

原始样本为MSC文件，其利用apds.dll库中存在的XSS漏洞，在mmc.exe的上下文中执行任意Javascript代码。

MSC文件包含的Javascript经Obfuscator混淆，包含大量无效难读的代码。去混淆后的结果如下，代码将请求hxxp://154.82.92.201/0day.js进一步执行

Javascript经去混淆，解密部分字符串后，部分代码如下，其将继续请求hxxp://154.82.92.201/0day.xsl执行

XML文件中包含Base64编码后的PE文件，通过反序列化后加载至内存执行

PE文件名为TestAssembly.dll，包含PDB路径：C:\Users\Administrator\Desktop\Msc\乌云\x道 - 154.82.92.201\GadgetToJScript\TestAssembly\obj\Debug\TestAssembly.pdb

文件运行后，将访问x道翻译的下载页面，并下载x道翻译的安装包到本地。此举意在迷惑用户，让用户认为运行了真的x道翻译安装软件。

同时该文件还将创建名为Wd的计划任务，用于在用户登录时启动本地文件：C:\\Users\\Public\\Music\\Wd\\Wd.exe

接着该加载器将下载一系列用于运行后续的环境依赖，如Bandzip组件、Python组件以及AutoHotkey等。并使用Bandzip解压Py.7z文件

最后运行Wd.exe以及使用python运行code.jpg文件包含的代码

code.jpg文件包含的代码将继续下载Shellcode执行，其请求的远程地址如下hxxp://comc0m.com/dan/154.82.92.201.bin

最终在本地加载的Shellcode为Winos组件（Gh0st魔改的远控木马），C2地址为154.82.92.201，端口1688

安恒云沙箱识别出该恶意木马的归属家族为Gh0st，并捕获到的流量特征中包含大量“6666.6”字符串特征

3

溯源关联

我们捕获到的同源MSC文件如下，其中youdaofanyiDD.msc同本文分析的YoudaoDict-Setup-installe-LDZ.msc一致，均为伪装x道翻译软件下载安装包；Setup.msc仿冒Chrome浏览器下载站；教育行业数据a.msc文件未设置正常网页访问。

文件名

第一阶段回连地址

youdaofanyiDD.msc

hxxp://laicai168.com/0day.xsl

抖音千粉企业号3F.msc

教育行业数据a.msc

hxxp://118.107.42.233/0day.xsl

Setup.msc

hxxp://154.91.65.103/0day.xsl

此次捕获的MSC文件与FaCai团伙活动的相似性及归因：

1.  作为针对国内用户的攻击活动，初始阶段均采用x道翻译软件安装包为诱饵；

2.  攻击链均涉及Windows脚本执行工具AutoHotkey.exe、python执行环境；

3.  Payload下载域名均为comc0m.com；

4.  最终加载的木马均为魔改的Gh0st远控木马；

5.  加密通信流量反复出现字符串“6666.6”，且通信端口域名多为6、8的组合，通信域名或PE文件包含“facai”、“laicai”字符串。

4

防范建议

猎影实验室提醒广大用户朋友，不运行未知来源的邮件附件。如有需要鉴别的未知来源样本，可以投递至安恒云沙箱查看判别结果后再进行后续操作。猎影实验室将持续对全球APT组织进行持续跟踪，专注发现并披露各类威胁事件。

目前安全数据部已具备相关威胁检测能力，对应产品已完成IoC情报的集成。针对该事件中的最新IoC情报，以下产品的版本可自动完成更新，若无法自动更新则请联系技术人员手动更新：

1.   AiLPHA分析平台V5.0.0及以上版本

2.   AiNTA设备V1.2.2及以上版本

3.   AXDR平台V2.0.3及以上版本

4.   APT设备V2.0.67及以上版本

5.   EDR产品V2.0.17及以上版本

安恒云沙盒已集成了海量威胁情报及样本特征。用户可通过云沙盒：https://sandbox.dbappsecurity.com.cn/对可疑文件进行威胁研判并下载分析报告。或用沙箱打开不明来源的未知文件，在虚拟环境中进行内容预览，免于主机失陷、受到木马或病毒文件攻击。