1 概述
KONNI APT 組織是疑似由特定政府支援的黑客組織,該組織長期針對俄羅斯、南韓等地區進行定向攻擊活動,其擅長使用社會熱點話題對目标進行魚叉式網絡釣魚攻擊。
微步情報局近期通過威脅狩獵系統監測到 KONNI 組織借助 “COVID-19疫苗接種”主題對俄羅斯方向的定向攻擊活動,分析有如下發現:
- 攻擊者向目标發送“疫苗接種預約”相關誘餌文檔,并附帶木馬子產品,根據相關誘餌檔案内容,研判攻擊目标為俄羅斯方向相關團體;
- 木馬使用 dll 劫持的方法借助相關安裝包程式、PDF閱讀器執行,後續加載執行的惡意子產品與該組織以往攻擊活動中所使用的樣本高度一緻;
- 與該組織以往攻擊活動不同的是,在本次攻擊活動中,攻擊者并沒有使用宏文檔進行攻擊,而是将木馬子產品與正常程式打包在一起進行 dll 劫持攻擊;
- 微步線上通過對相關樣本、IP 和域名的溯源分析,提取8條相關 IOC ,可用于威脅情報檢測。微步線上威脅感覺平台 TDP 、本地威脅情報管理平台 TIP 、威脅情報雲 API 、網際網路安全接入服務 OneDNS 、主機威脅檢測與響應平台 OneEDR 等均已支援對此次攻擊事件和團夥的檢測。
2 詳情
攻擊者向目标發送以“疫苗接種預約”為主題的誘餌文檔壓縮包,其中包含木馬子產品,相關文檔均以俄文編輯,部分誘餌文檔截圖如下。
圖[1] 部分誘餌文檔截圖
相關誘餌檔案清單:
| 檔案名稱 | 檔案說明 |
| 20_10_2021_01_6101_21____________________________.pdf | 疫苗相關說明pdf文檔,無毒 |
| 0001202110250033.pdf | |
| BMP-13.pdf | |
| МР по вакцинации.docx | MR 疫苗接種.pdf,無毒 |
| огласие на обработку персональных данных.pdf | 同意處理個人資料.pdf,無毒 |
| ПРОГРАММА ДЛЯ РЕГИСТРАЦИИ ПРИВИТЫХ В ФЕДЕРАЛЬНОМ РЕГИСТРЕ ВАКЦИНИРОВАННЫХ.exe | 在聯邦疫苗接種登記處登記接種疫苗的計劃.exe(木馬) |
| урнал о ревакцинированных от ковид за рубежом.docx | 關于在國外接種疫苗的雜志.docx,無毒 |
| урнал о вакцинированных от ковид за рубежом.docx | |
| MEGAVIEW.EXE | PDF閱讀器(木馬) |
攻擊者制作 SFX 自解壓可執行程式,将相關程式和木馬 dll 子產品重新打包,利用 dll 劫持執行攜帶的木馬。
圖[2] 安裝包執行後的顯示界面
此外還使用類似的手法,對福昕閱讀器(foxit)進行打包,執行惡意子產品。
圖[3] PDF閱讀器執行後的顯示界面
3 樣本分析
3.1 僞裝疫苗接種計劃登記的惡意安裝包樣本
該樣本為自解壓可執行檔案,包含程式 buchgal.exe 和木馬子產品 buchgal.dll。
圖[4] 僞裝成安裝包的SFX自解壓可執行檔案
buchgal.exe 應為正常的安裝包程式。
圖[5] 正常的安裝包程式
而 buchgal.dll 為 dll 劫持的木馬檔案,執行之後檢查目标主機架構,根據對應類型進行後續下載下傳。
圖[6] 檢查目标主機系統架構
之後使用 WinInet 相關函數從伺服器下載下傳惡意載荷, 成功下載下傳後儲存為臨時檔案,分析該樣本時已經無法正常下載下傳。
URL:victory-2020.atwebpages.com/index.php?user_id=45678&type={0或1,表示x86或x64}
圖[7] 從伺服器下載下傳惡意載荷
在 Temp 目錄生成一個 tamp.bat 檔案,寫入經 Base64 解碼的内容,并執行起來。該 bat 的功能為循環判斷 a.log 檔案是否存在,如果存在的話也就是下面的 expand 指令成功執行,則删除 a.log 檔案,并執行 install.bat,最後删除自身。
| @echo off cd /d %TEMP% :WAITING timeout /t 1 if not exist "a.log" (goto WAITING) del /f /q "a.log" install.bat del /f /q "%~dpnx0" |
圖[8] 生成并執行temp.bat
最後調用 expand 指令,将下載下傳的壓縮包解壓,删除壓縮包,輸出 echo OK 到 a.log 檔案,壓縮後的檔案将由上面的 bat 檔案執行。
圖[9] 調用expand指令解壓下載下傳的檔案包
3.2 僞裝 PDF 閱讀器的樣本
與上述樣本類似,攻擊者向目标投遞 PDF 閱讀器程式,實際為 SFX 自解壓可執行檔案,包内檔案包含閱讀器程式 foxit.exe 和木馬子產品 foxit.dll。
圖[10] 僞裝為PDF閱讀器的SFX自解壓可執行檔案
同樣使用 dll 劫持的方法加載木馬 foxit.dll,exe 為福昕閱讀器(foxit)相關子產品。
圖[11] 捆綁的正常PDF閱讀器程式
木馬子產品與上述樣本流程基本一緻,同樣從伺服器下載下傳執行下階段惡意載荷。
URL:online-manual.c1.biz/index.php?user_id=765&type=%d
圖[12] 從伺服器下載下傳惡意載荷并調用 expand 指令解壓
4 關聯分析
KONNI APT 組織長期針對俄羅斯方向相關機構進行定向攻擊活動,在以往攻擊活動中經常使用誘餌宏文檔進行攻擊,而在本次攻擊活動中,可以看到該組織使用 dll 劫持的方法試圖向目标投遞誘餌文檔。
與以往攻擊活動類似的是,木馬依然會從伺服器下載下傳壓縮封包件,并使用 expand 指令進行解壓,以執行後續惡意載荷。
圖[13] 以往攻擊活動中使用的expand指令
圖[14] 本次攻擊活動中使用的expand指令
以及使用同樣的 URL 指令格式,攻擊者疑似使用 user_id 标注目标編号,且通常根據目标作業系統分别下載下傳對應版本木馬。
圖[15] 以往攻擊活動中使用的URL格式
圖[16] 本次攻擊活動中使用的URL格式
5 結論
俄羅斯方向相關團體一直是 KONNI 組織的長期攻擊目标之一,在以往攻擊活動中,該組織經常使用誘餌宏文檔進行魚叉釣魚攻擊,而在本次攻擊活動中,攻擊者不再使用宏文檔,而是将木馬與正常程式打包在一起進行dll劫持攻擊,微步情報局會對相關攻擊活動持續進行跟蹤,及時發現安全威脅并快速響應處置。