1 概述
KONNI APT 组织是疑似由特定政府支持的黑客组织,该组织长期针对俄罗斯、韩国等地区进行定向攻击活动,其擅长使用社会热点话题对目标进行鱼叉式网络钓鱼攻击。
微步情报局近期通过威胁狩猎系统监测到 KONNI 组织借助 “COVID-19疫苗接种”主题对俄罗斯方向的定向攻击活动,分析有如下发现:
- 攻击者向目标发送“疫苗接种预约”相关诱饵文档,并附带木马模块,根据相关诱饵文件内容,研判攻击目标为俄罗斯方向相关团体;
- 木马使用 dll 劫持的方法借助相关安装包程序、PDF阅读器执行,后续加载执行的恶意模块与该组织以往攻击活动中所使用的样本高度一致;
- 与该组织以往攻击活动不同的是,在本次攻击活动中,攻击者并没有使用宏文档进行攻击,而是将木马模块与正常程序打包在一起进行 dll 劫持攻击;
- 微步在线通过对相关样本、IP 和域名的溯源分析,提取8条相关 IOC ,可用于威胁情报检测。微步在线威胁感知平台 TDP 、本地威胁情报管理平台 TIP 、威胁情报云 API 、互联网安全接入服务 OneDNS 、主机威胁检测与响应平台 OneEDR 等均已支持对此次攻击事件和团伙的检测。
2 详情
攻击者向目标发送以“疫苗接种预约”为主题的诱饵文档压缩包,其中包含木马模块,相关文档均以俄文编辑,部分诱饵文档截图如下。
图[1] 部分诱饵文档截图
相关诱饵文件列表:
| 文件名称 | 文件说明 |
| 20_10_2021_01_6101_21____________________________.pdf | 疫苗相关说明pdf文档,无毒 |
| 0001202110250033.pdf | |
| BMP-13.pdf | |
| МР по вакцинации.docx | MR 疫苗接种.pdf,无毒 |
| огласие на обработку персональных данных.pdf | 同意处理个人数据.pdf,无毒 |
| ПРОГРАММА ДЛЯ РЕГИСТРАЦИИ ПРИВИТЫХ В ФЕДЕРАЛЬНОМ РЕГИСТРЕ ВАКЦИНИРОВАННЫХ.exe | 在联邦疫苗接种登记处登记接种疫苗的计划.exe(木马) |
| урнал о ревакцинированных от ковид за рубежом.docx | 关于在国外接种疫苗的杂志.docx,无毒 |
| урнал о вакцинированных от ковид за рубежом.docx | |
| MEGAVIEW.EXE | PDF阅读器(木马) |
攻击者制作 SFX 自解压可执行程序,将相关程序和木马 dll 模块重新打包,利用 dll 劫持执行携带的木马。
图[2] 安装包执行后的显示界面
此外还使用类似的手法,对福昕阅读器(foxit)进行打包,执行恶意模块。
图[3] PDF阅读器执行后的显示界面
3 样本分析
3.1 伪装疫苗接种计划登记的恶意安装包样本
该样本为自解压可执行文件,包含程序 buchgal.exe 和木马模块 buchgal.dll。
图[4] 伪装成安装包的SFX自解压可执行文件
buchgal.exe 应为正常的安装包程序。
图[5] 正常的安装包程序
而 buchgal.dll 为 dll 劫持的木马文件,执行之后检查目标主机架构,根据对应类型进行后续下载。
图[6] 检查目标主机系统架构
之后使用 WinInet 相关函数从服务器下载恶意载荷, 成功下载后保存为临时文件,分析该样本时已经无法正常下载。
URL:victory-2020.atwebpages.com/index.php?user_id=45678&type={0或1,表示x86或x64}
图[7] 从服务器下载恶意载荷
在 Temp 目录生成一个 tamp.bat 文件,写入经 Base64 解码的内容,并执行起来。该 bat 的功能为循环判断 a.log 文件是否存在,如果存在的话也就是下面的 expand 指令成功执行,则删除 a.log 文件,并执行 install.bat,最后删除自身。
| @echo off cd /d %TEMP% :WAITING timeout /t 1 if not exist "a.log" (goto WAITING) del /f /q "a.log" install.bat del /f /q "%~dpnx0" |
图[8] 生成并执行temp.bat
最后调用 expand 指令,将下载的压缩包解压,删除压缩包,输出 echo OK 到 a.log 文件,压缩后的文件将由上面的 bat 文件执行。
图[9] 调用expand命令解压下载的文件包
3.2 伪装 PDF 阅读器的样本
与上述样本类似,攻击者向目标投递 PDF 阅读器程序,实际为 SFX 自解压可执行文件,包内文件包含阅读器程序 foxit.exe 和木马模块 foxit.dll。
图[10] 伪装为PDF阅读器的SFX自解压可执行文件
同样使用 dll 劫持的方法加载木马 foxit.dll,exe 为福昕阅读器(foxit)相关模块。
图[11] 捆绑的正常PDF阅读器程序
木马模块与上述样本流程基本一致,同样从服务器下载执行下阶段恶意载荷。
URL:online-manual.c1.biz/index.php?user_id=765&type=%d
图[12] 从服务器下载恶意载荷并调用 expand 命令解压
4 关联分析
KONNI APT 组织长期针对俄罗斯方向相关机构进行定向攻击活动,在以往攻击活动中经常使用诱饵宏文档进行攻击,而在本次攻击活动中,可以看到该组织使用 dll 劫持的方法试图向目标投递诱饵文档。
与以往攻击活动类似的是,木马依然会从服务器下载压缩包文件,并使用 expand 指令进行解压,以执行后续恶意载荷。
图[13] 以往攻击活动中使用的expand命令
图[14] 本次攻击活动中使用的expand命令
以及使用同样的 URL 指令格式,攻击者疑似使用 user_id 标注目标编号,且通常根据目标操作系统分别下载对应版本木马。
图[15] 以往攻击活动中使用的URL格式
图[16] 本次攻击活动中使用的URL格式
5 结论
俄罗斯方向相关团体一直是 KONNI 组织的长期攻击目标之一,在以往攻击活动中,该组织经常使用诱饵宏文档进行鱼叉钓鱼攻击,而在本次攻击活动中,攻击者不再使用宏文档,而是将木马与正常程序打包在一起进行dll劫持攻击,微步情报局会对相关攻击活动持续进行跟踪,及时发现安全威胁并快速响应处置。