皇冠体育寻求亚洲战略合作伙伴,皇冠代理招募中,皇冠平台开放会员注册、充值、提现、电脑版下载、APP下载。

首页科技正文

filecoin交易所(www.ipfs8.vip):Kimsuky APT组织延续行使AppleSeed后门攻击韩国 ***

admin2021-06-05266新闻

Kimsuky(也称为Thallium、BlackBanshee、VelvetChollima)APT是朝鲜的网络特工组织,主要针对韩国的 *** 实体开展网络威胁流动,该组织自2012年以来一直活跃。2020年12月,KISA(韩国互联网与平安局)提供了对Kimsuky用于网络钓鱼的基础设施和TTP的详细剖析。

Malwarebytes平安团队在近期考察到Kimsuky的流动迹象,发现其用于攻击韩国 *** 内着名人士的网络钓鱼网站、恶意文档和剧本。流动中使用的装备、TTP与KISA讲述中的内容一致。

攻击目的

Kimsuky使用的钓鱼文件之一名为“외교부사판2021-05-07”,翻译为“外交部版2021-05-07”,注释它的目的是韩外洋交部。其他与韩国 *** 有关的目的包罗:

· 大韩民外洋务省一秘

· 大韩民外洋务省二秘

· 商业部长

· 韩国驻香港总领事馆副总领事

· 国际原子能机构(IAEA)核平安官员

· 斯里兰卡驻华大使馆大使

· 外交商业部参赞

除了针对 *** 之外,Kimsuky的目的还包罗韩国的大学和公司,好比首尔国立大学、大新金融平安公司以及KISA。

网络钓鱼基础设施

Kimsuky会模拟着名网站并诱骗受害者输入其凭证,这是该组织用来网络电子邮件地址的主要方式之一,地址之后用于发送钓鱼邮件。Kimsuky组织仍在使用之前在KISA讲述中提到的类似的网络钓鱼模子,但有一些细微的转变。

例如,Mobile_detect和Anti_IPs模块从B型添加到C型(KISA讲述),以便能够检测移动装备并基于此调整视图。此网络钓鱼模子能够凭证从钓鱼邮件收到的参数值以英语或韩语的形式出现钓鱼页面。

图1:网络钓鱼服务模子

Kimsuky开发了多种网络钓鱼手艺来模拟以下Web服务并窃取凭证:Gmail、Hotmail、MicrosoftOutlook、Nate、Daum、Naver、Telegram、KISA。

图2:KimsukyAPT开发的Nate钓鱼页面

Kimsuky使用Twitter帐户来查找目的,并向其发送定制钓鱼邮件。该组织还使用Gmail帐户举行钓鱼攻击或注册域,使用的Gmail帐户之一是“tjkim1991@gmail[.]com”,注册了以下域名:

· ns1.microsoft-office[.]us

· ns2.microsoft-office[.]us

上面两个域名于4月3日注册,应该是暂时保留用于未来的流动中。从域名中我们能找到攻击者使用的基础设施,其中一些与之前报道的由Kimsuky运营的流动重叠。

图3:基础设施关联

C2基础设施

Kimsuky将其部门钓鱼基础设施用于指挥和控制通讯。在最近针对韩国 *** 的攻击中,他们重新行使了曾经用于托管钓鱼网站的基础设施,如AppleSeed后门的C&C通讯。除了用AppleSeed后门针对Windows用户外,尚有针对Android用户的定制后门,Android后门可看作是AppleSeed后门的移动版本,它使用与Windows相同的下令模式和基础设施。

图4:C2基础设施

以下是攻击者用于C2通讯的一些IP和域:

210.16.120[.]34

216.189.157[.]89

45.58.55[.]73

45.13.135[.]103

27.102.114[.]89

210.16.121[.]137

58.229.208[.]146

27.102.107[.]63

download.riseknite[.]life

onedrive-upload.ikpoo[.]cf

alps.travelmountain[.]ml

texts.letterpaper[.]press

对最近一次AppleSeed攻击的剖析

在本节中,我们将剖析Kimsuky用于攻击韩外洋交部的AppleSeed后门。

初始接见

Kimsuky于2021年5月7日对韩外洋交部举行了鱼叉式网络钓鱼攻击,钓鱼邮件中携带恶意附件(외교부사판2021-05-07.zip),攻击目的由上文所述的途径网络。

附件文件包罗一个伪装成PDF文件的JavaScript文件(외교부사판2021-05-07.pdf.jse),它包罗两个Base64编码的数据块,第一个是数据块是PDF诱饵文件的内容,另一个为Base64名堂的AppleSeed有用负载(编码两次)。后者先使用MSXMLBase64解码函数解码第一层,然后使用certutil.exe解码第二层并获得最终的ApppleSeed有用负载。

图5:JS文件

解码PDF和AppleSeed有用负载后的内容将写入ProgramData目录。最后,通过挪用Wscript.Shell.Run打开诱饵PDF文件,并通过PowerShell挪用regsvr32.exe执行AppleSeed有用负载。挪用regsvr32.exe来运行DLL将其注册为一个服务器,该服务器自动挪用名为DllRegisterServer的DLL导出函数。

powershell.exe-windowstylehiddenregsvr32.exe/sAppleSeed_Payload
Wscript_Shell.Run(Pdf_Name);

AppleSeed后门

植入的有用负载是由UPX封装的DLL文件。解压后的样本经由高度混淆,主要的API挪用和字符串已使用自界说加密算法举行加密。字符串和API挪用的加密版本接纳十六进制ASCII名堂,每当在代码中恶意软件需要使用字符串时,它就会获取加密的字符串并将其通报给两个函数对其举行解密。

第一个函数“string_decryptor_prep”获取加密的字符串,然后准备一个自界说数据结构,该结构有四个元素:

typedefstruct_UNICODESTR{
wchar_t*Buffer;//Encryptedstring
DWORDpadding;
uint64_tLength;//Lengthofthestring
uint64_tMaxLength;//Maxlengthforthestringwhichha *** eencalculatedbasedonthelenght
}UNICODESTR;

第二个函数“string_decryptor”获取前一个函数中确立的数据结构,解密其中的字符串并将其放入相同的数据结构中。

,

皇冠体育APP

皇冠体育APP(www.huangguan.us)是一个开放皇冠代理APP下载、皇冠会员APP下载、皇冠线路APP下载、皇冠登录APP下载的体育平台。皇冠体育APP上最新登录线路、新2皇冠网址更新最快。皇冠体育APP开放皇冠会员注册、皇冠代理开户等业务。

,

图6:字符串解密函数

解密器函数首先通过挪用hexascii_to_binary函数,对每两个十六进制的ascii字符(即示例1中的c3、42、b1、1d...)转换为二进制,然后将输入中的前16个字节用作密钥,其余部门是在16个字节块(即ed、d5、0d、60)中解密的现实值。

解密历程是对key[i]^string[i-1]^string[i]的简朴异或运算(第一个字符string_to_be_decrypted[i-1]设置为零)。

图7:字符串解码器示例

大多数主要的API挪用在运行时使用“string_decryptor”函数动态剖析。

图8:剖析API挪用

AppleSeed有用负载有一个名为“DllRegisterServer”的导出函数,该函数将在使用RegSvr32.exe执行DLL时挪用。DllRegisterServer有一个函数卖力执行DLL初始化和设置,包罗以下步骤:

1、将自身复制到“C:\ProgramData\Software\ESTsoft\Common”中,并重命名为ESTCommon.dll,冒充它是属于ESTsecurity公司的DLL。

2、通过确立以下注册表项使其持久化:

注册表项名称:EstsoftAutoUpdate

注册表项值:Regsvr32.exe/sC:\ProgramData\Software\ESTsoft\Common\ESTCommon.dll

注册表位置:HKLU\Software\Microsoft\Windows\CurrentVersion\RunOnce

图9:注册表确立

功效通过在“C:\ProgramData\Software\ESTsoft\Common\flags”目录中确立文件(FolderMonitor、KeyboardMonitor、ScreenMonitor、U *** Monitor)并将“flag”写入其中来激活。

下一步会确立一个互斥锁,确保只熏染受害者一次。

图10:互斥锁确立

确立互斥锁后,通过挪用GetTokenInformationAPI挪用检查当前历程是否具有准确的接见权限,若是它没有,则实验将SeDebugPrivilege通报给AdjustTokenPrivilege获得系统级权限。

图11:提权

最后,它在单独的线程中执行其主要功效。每个线程中网络的数据都被压缩和加密,并使用HTTPPOST请求发送到下令和控制服务器。将数据发送到服务器后,数据会从受害者的机械中删除。

ApppleSeed有用负载使用RC4来加密息争密数据。为了天生RC4密钥,它通过挪用CryptGenRandom确立一个117字节的随机缓冲区,然后使用CryptCreateHash和CryptHashData将缓冲区添加到MD5哈希工具中,接着挪用CryptDeriveKey来天生RC4密钥。

确立的117字节缓冲区使用RSA算法加密,并与RC4加密数据一起发送到服务器。RSA密钥接纳十六进制ASCII名堂,并已使用“string_decryptor”函数解密。

输入捕捉(KeyLogger)

键盘纪录器函数使用GetKeyState和GetKeyboardState来捕捉受害者机械上按下的键,并将每个历程的所有键纪录到log.txt文件中。

图12:键盘纪录器

屏幕截图

该模块通过挪用API(GetDesktopWindow、GetDC、CreateCompstibleDC、CreateCompatibleBitmap、Bitblt和GetDIBits)来截取屏幕截图,然后使用CreateFileW和WriteFile将它们写入文件。

图13:屏幕截图

网络可移动装备数据

该模块查找毗邻到机械的可移动媒体装备并网络数据,然后发送到下令和控制服务器。识别 USB 驱动器是挪用 CM_Get_Device_IDW 检索名堂为“

图 14:获取可移动装备

网络文件

该线程在Desktop、Documents、Downloads 和 AppData\Local\Microsoft\Windows\INetCache\IE 目录中查找 txt、ppt、hwp、pdf 和 doc 文件,将它们存档以备发送到服务器。

图 15:文件网络

下令结构

AppleSeed后门使用两层下令结构与服务器举行通讯,模式为:

entity:url url:?m=[command layer one]&p1=[volume serial number]&p2=[command layer two]

第一层下令界说了服务器期望在机械上执行的下令类型,具有以下值之一:

· a  ping模式(网络受害者信息,包罗 IP、时间戳、受害者操作系统版本)

· b 上传数据模式

· c 下载下令(守候下令)

· d 删除下令

· e 上传下令模式

· f 列出目录模式

· g 删除文件模式

· h 检查文件模式是否存在

下令层2仅用于当下令层 1 处于上传数据模式 (c) 并界说上传类型时。它可以具有以下值之一:

· a 上传下令执行效果

· b 上传文件和可移动媒体数据

· c 上传截图

· d 上传输入捕捉数据(键盘纪录器数据)

本文翻译自:https://blog.malwarebytes.com/threat- *** ysis/2021/06/kimsuky-apt-continues-to-target-south-korean-government-using-appleseed-backdoor/

Filecoin行情

Filecoin行情官网(www.ipfs8.vip)是FiLecoin致力服务于使用FiLecoin存储和检索数据的官方权威平台。IPFS官网实时更新FiLecoin(FIL)行情、当前FiLecoin(FIL)矿池、FiLecoin(FIL)收益数据、各类FiLecoin(FIL)矿机出售信息。并开放FiLecoin(FIL)交易所、IPFS云矿机、IPFS矿机出售、租用、招商等业务。

网友评论