思科分析韓國黑客組織“Group123”對韓國公民發(fā)起的6起網(wǎng)絡(luò)釣魚活動(dòng)

責(zé)任編輯:editor004

2018-01-18 11:33:54

摘自:E安全

思科Talos團(tuán)隊(duì)在最新的報(bào)告中將自2017年起至今發(fā)現(xiàn)的六起針對韓國公民的網(wǎng)絡(luò)釣魚攻擊活動(dòng)歸因于一個(gè)名為“Group123”的韓國黑客組織,且都利用了遠(yuǎn)控工具ROKRAT。

思科Talos團(tuán)隊(duì)在最新的報(bào)告中將自2017年起至今發(fā)現(xiàn)的六起針對韓國公民的網(wǎng)絡(luò)釣魚攻擊活動(dòng)歸因于一個(gè)名為“Group123”的韓國黑客組織,且都利用了遠(yuǎn)控工具ROKRAT。

這六起網(wǎng)絡(luò)釣魚活動(dòng)被追蹤為:

2016年11月至2017年1月-"罪惡的新年(Evil New Year)";

2016年8月至2017年3月-"黃金時(shí)間(Golden Time)" ;

2017年3月-"你快樂嗎(Are you Happy)?";

2017年5月-"FreeMilk" ;

2017年11月-"朝鮮人權(quán)(North Korean Human Rights)";

2018年1月-"罪惡的新年2018(Evil New Year 2018)" 。

思科報(bào)告韓國黑客組織“Group123”針對韓國公民發(fā)起的6起網(wǎng)絡(luò)釣魚活動(dòng)-E安全

"罪惡的新年”和“罪惡的新年2018”

前者發(fā)生在2016年11月,并一直持續(xù)到2017年1月。后者則是前者的復(fù)制,開始于今年1月2日,主要目的是誘導(dǎo)受害者打開一個(gè)由攻擊者使用韓國辦公軟件Hancom Office 創(chuàng)建的惡意HWP文檔。

思科報(bào)告韓國黑客組織“Group123”針對韓國公民發(fā)起的6起網(wǎng)絡(luò)釣魚活動(dòng)-E安全

電子郵件偽裝成來自韓國統(tǒng)一部,而惡意HWP文檔命名被描述為“2017朝鮮領(lǐng)導(dǎo)人新年演說分析”,文檔正文中還使用了韓國統(tǒng)一部的官方標(biāo)識(shí)。

思科報(bào)告韓國黑客組織“Group123”針對韓國公民發(fā)起的6起網(wǎng)絡(luò)釣魚活動(dòng)-E安全

事實(shí)上HWP文檔包含一個(gè)嵌入式EPS對象,攻擊者使用EPS是為了利用已知的漏洞(例如CVE-2013-0808)下載并執(zhí)行隱藏在偽裝為jpg圖片中的shellcode。在這種情況下,shellcode將從內(nèi)存中下載并解碼ROKRAT的無文件變種作為最終的有效載荷。

與之前的Group123活動(dòng)中分發(fā)的ROKRAT樣本非常相似,該變種利用Yandex、pCloud、Dropbox和Box等云平臺(tái)來掃描文檔并與攻擊者進(jìn)行交互。

“黃金時(shí)間”

發(fā)生在2016年8月至2017年3月,與Group123的大部分活動(dòng)一樣,在這次活動(dòng)中最初的攻擊媒介是魚叉式網(wǎng)絡(luò)釣魚。

在這起活動(dòng)中,Talos團(tuán)隊(duì)確定了兩種不同類型的電子郵件。第一封電子郵件中的附件被描述為“朝鮮會(huì)議_統(tǒng)一考試文件”, 在電子郵件的正文中,攻擊者甚至表示完成文檔的人將得到一筆“小額費(fèi)用”;第二封電子郵件是關(guān)于一個(gè)叫“Ewing Kim”的人正在尋求幫助的故事,電子郵件的附件是兩個(gè)不同的HWP文檔,均利用相同的漏洞(CVE-2013-0808)。

思科報(bào)告韓國黑客組織“Group123”針對韓國公民發(fā)起的6起網(wǎng)絡(luò)釣魚活動(dòng)-E安全

思科報(bào)告韓國黑客組織“Group123”針對韓國公民發(fā)起的6起網(wǎng)絡(luò)釣魚活動(dòng)-E安全

兩封電子郵件的最終目的都是為了下載ROKRAT,這個(gè)ROKRAT變種的首要任務(wù)是檢查受感染設(shè)備操作系統(tǒng)版本。如果檢測到Windows XP,則將執(zhí)行無限循環(huán),其目的是在運(yùn)行Windows XP系統(tǒng)設(shè)備的沙箱系統(tǒng)上生成空報(bào)表。

此外,它還會(huì)檢查以確定常用分析工具是否正在受感染的系統(tǒng)上運(yùn)行。如果檢測到這些工具的存在,惡意軟件會(huì)向合法網(wǎng)站執(zhí)行兩個(gè)網(wǎng)絡(luò)請求,其中一個(gè)請求會(huì)打開一個(gè)名為“黃金時(shí)間”的日本動(dòng)漫。

思科報(bào)告韓國黑客組織“Group123”針對韓國公民發(fā)起的6起網(wǎng)絡(luò)釣魚活動(dòng)-E安全

ROKRAT的特征之一是使用社交網(wǎng)絡(luò)和云平臺(tái)與攻擊者進(jìn)行交互,這些平臺(tái)是用來滲透文件和接收指示的,這包括Twitter、Yandex和Mediafire。

“你快樂嗎?”

這是Talos團(tuán)隊(duì)最后才確認(rèn)與Group123有關(guān)的一起網(wǎng)絡(luò)釣魚活動(dòng),發(fā)生在2017年3月份。

在這個(gè)活動(dòng)中,攻擊者部署了一個(gè)名為“ERSP.enc”的ROKRAT模塊。這是一個(gè)硬盤擦除器,能夠打開受感染設(shè)備的硬盤并將數(shù)據(jù)寫入主引導(dǎo)記錄(Master Boot Record,MBR)。

惡意軟件在重新引導(dǎo)受感染設(shè)備啟動(dòng)后,MBR顯示一個(gè)字符串——“你快樂嗎?(Are you Happy ?)”

“FREEMILK”

發(fā)生在2017年5月份的“FreeMilk”活動(dòng)與其他活動(dòng)不同,它針對了數(shù)家非韓國金融機(jī)構(gòu)(如位于中東的銀行、總部位于歐洲的提供商標(biāo)和知識(shí)產(chǎn)權(quán)服務(wù)的公司、國際性的體育組織以及與亞洲東部和北部的國家有間接關(guān)系的個(gè)體)。

另外,在這個(gè)活動(dòng)中,攻擊者一改常態(tài),并沒有使用他們所慣用的HWP文檔,轉(zhuǎn)而利用惡意的Microsoft Office文檔。且利用了較新披露的漏洞CVE-2017-0199(一個(gè)Microsoft Word Office/WordPad遠(yuǎn)程代碼執(zhí)行漏洞),Group123在漏洞公開披露后不到一個(gè)月就對其進(jìn)行了利用。

在這個(gè)活動(dòng)中,攻擊者使用了兩個(gè)不同的惡意二進(jìn)制文件:PoohMilk和Freenki。PoohMilk的存在只是為了下載Freenki,而Freenki用于收集有關(guān)受感染系統(tǒng)的信息并下載后續(xù)階段的有效載荷。該惡意軟件已于2016年在多個(gè)惡意廣告活動(dòng)中被使用,并與ROKRAT存在有一些代碼重疊。

“朝鮮人權(quán)”

2017年11月,Talos團(tuán)隊(duì)觀察到了這起活動(dòng),其中包含一個(gè)新版ROKRAT。

Group123也重新使用起了他們慣用的HWP文檔,內(nèi)容描述了一個(gè)11月1日在韓國首爾舉行的會(huì)議的相關(guān)信息。

據(jù)內(nèi)容來看,這個(gè)文件是由一個(gè)自稱代表“朝鮮人權(quán)和統(tǒng)一朝鮮半島公民聯(lián)盟”的法定代表人撰寫的。

思科報(bào)告韓國黑客組織“Group123”針對韓國公民發(fā)起的6起網(wǎng)絡(luò)釣魚活動(dòng)-E安全

這個(gè)新版ROKRAT包含反沙盒技術(shù),這是通過檢查以下庫是否加載到受感染設(shè)備上來執(zhí)行的:

SbieDll.dll;

Dbghelp.dll;

Api_log.dll;

Dir_watch.dll。

此版本的ROKRAT還附帶了瀏覽器信息竊取機(jī)制,與Group123在2016年使用的Freenki類似,但進(jìn)行了一些修改。并繼續(xù)使用云平臺(tái),這包括:pCloud、 Dropbox、Box 和Yandex。

以下是上述提到的六起活動(dòng)的相似點(diǎn)與差異:

思科報(bào)告韓國黑客組織“Group123”針對韓國公民發(fā)起的6起網(wǎng)絡(luò)釣魚活動(dòng)-E安全

Talos團(tuán)隊(duì)表示,事實(shí)證明,Group123雖然主要在韓國活動(dòng),但這并不表示它只會(huì)局限于韓國。對于國際目標(biāo)而言,他們能夠切換到更為有效的攻擊媒介,例如使用Microsoft Office文檔,而不是固定不變的使用HWP文檔。

但這些活動(dòng)或多或少都會(huì)存在一些共同點(diǎn),不僅包括ROKRAT,還包括使用HWP文檔、類似的PDB(程序數(shù)據(jù)庫)模式和偵察代碼,以及在某些有效載荷中存在的瀏覽器信息竊取器。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)