长亭百川云 - 文章详情

FaCai团伙利用APT技术针对国内的攻击活动分析

网络安全研究宅基地

196

2024-07-25

1

概述

自微软默认禁用了来自互联网的文档中的Office宏之后,其他类型的恶意负载如JavaScript、MSI文件、LNK对象和ISO文件的使用量就开始急剧上升。然而此类恶意代码容易被杀毒软件查杀,有很高的被检测到的可能性。于是攻击者寻求利用新的、未公开的感染手段来获得访问权限,同时规避检测。

近日,朝鲜威胁行为者Kimsuky在活动中利用了MSC文件,该文件在初次上传到VirusTotal平台时,检出为恶意样本的引擎为零。随后,国外安全人员将此类利用特定技术执行任意代码的MSC文件称为GrimResource。

安恒研究院猎影实验室在日常威胁情报狩猎中捕获了同类型利用MSC文件针对国内用户的攻击活动。此类MSC文件利用apds.dll库中存在的XSS漏洞,在mmc.exe的上下文中执行任意Javascript代码,最终加载多阶段负载,实现对本机的远程控制攻击。

安恒研究院猎影实验室在对相关恶意样本进行溯源关联后发现,该样本疑似来自国内黑产团伙“FaCai”,该团伙于2024年4月披露,主要使用魔改的Gh0st远控木马,通信流量包含大量“6666.6”字符串特征。该团伙在初期主要使用伪装成文档的PE文件直接引诱目标运行,中期逐渐转向使用MSI文件。近日,MSC文件利用初兴,我们便捕获到了来自该团伙的多枚MSC攻击样本。

本次捕获的MSC样本加载流程如下:

2

样本分析

原始样本为MSC文件,其利用apds.dll库中存在的XSS漏洞,在mmc.exe的上下文中执行任意Javascript代码。

MSC文件包含的Javascript经Obfuscator混淆,包含大量无效难读的代码。去混淆后的结果如下,代码将请求hxxp://154.82.92.201/0day.js进一步执行

Javascript经去混淆,解密部分字符串后,部分代码如下,其将继续请求hxxp://154.82.92.201/0day.xsl执行

XML文件中包含Base64编码后的PE文件,通过反序列化后加载至内存执行

PE文件名为TestAssembly.dll,包含PDB路径:C:\Users\Administrator\Desktop\Msc\乌云\x道 - 154.82.92.201\GadgetToJScript\TestAssembly\obj\Debug\TestAssembly.pdb

文件运行后,将访问x道翻译的下载页面,并下载x道翻译的安装包到本地。此举意在迷惑用户,让用户认为运行了真的x道翻译安装软件。

同时该文件还将创建名为Wd的计划任务,用于在用户登录时启动本地文件:C:\\Users\\Public\\Music\\Wd\\Wd.exe

接着该加载器将下载一系列用于运行后续的环境依赖,如Bandzip组件、Python组件以及AutoHotkey等。并使用Bandzip解压Py.7z文件

最后运行Wd.exe以及使用python运行code.jpg文件包含的代码

code.jpg文件包含的代码将继续下载Shellcode执行,其请求的远程地址如下hxxp://comc0m.com/dan/154.82.92.201.bin

最终在本地加载的Shellcode为Winos组件(Gh0st魔改的远控木马),C2地址为154.82.92.201,端口1688

安恒云沙箱识别出该恶意木马的归属家族为Gh0st,并捕获到的流量特征中包含大量“6666.6”字符串特征

3

溯源关联

我们捕获到的同源MSC文件如下,其中youdaofanyiDD.msc同本文分析的YoudaoDict-Setup-installe-LDZ.msc一致,均为伪装x道翻译软件下载安装包;Setup.msc仿冒Chrome浏览器下载站;教育行业数据a.msc文件未设置正常网页访问。

文件名

第一阶段回连地址

youdaofanyiDD.msc

hxxp://laicai168.com/0day.xsl

抖音千粉企业号3F.msc

教育行业数据a.msc

hxxp://118.107.42.233/0day.xsl

Setup.msc

hxxp://154.91.65.103/0day.xsl

此次捕获的MSC文件与FaCai团伙活动的相似性及归因:

1.  作为针对国内用户的攻击活动,初始阶段均采用x道翻译软件安装包为诱饵;

2.  攻击链均涉及Windows脚本执行工具AutoHotkey.exe、python执行环境;

3.  Payload下载域名均为comc0m.com;

4.  最终加载的木马均为魔改的Gh0st远控木马;

5.  加密通信流量反复出现字符串“6666.6”,且通信端口域名多为6、8的组合,通信域名或PE文件包含“facai”、“laicai”字符串。

4

防范建议

猎影实验室提醒广大用户朋友,不运行未知来源的邮件附件。如有需要鉴别的未知来源样本,可以投递至安恒云沙箱查看判别结果后再进行后续操作。猎影实验室将持续对全球APT组织进行持续跟踪,专注发现并披露各类威胁事件。

目前安全数据部已具备相关威胁检测能力,对应产品已完成IoC情报的集成。针对该事件中的最新IoC情报,以下产品的版本可自动完成更新,若无法自动更新则请联系技术人员手动更新:

1.   AiLPHA分析平台V5.0.0及以上版本

2.   AiNTA设备V1.2.2及以上版本

3.   AXDR平台V2.0.3及以上版本

4.   APT设备V2.0.67及以上版本

5.   EDR产品V2.0.17及以上版本

安恒云沙盒已集成了海量威胁情报及样本特征。用户可通过云沙盒:https://sandbox.dbappsecurity.com.cn/对可疑文件进行威胁研判并下载分析报告。或用沙箱打开不明来源的未知文件,在虚拟环境中进行内容预览,免于主机失陷、受到木马或病毒文件攻击。

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2