追蹤分析近期針對東亞的攻擊行動
一、總結
自2016年以來,思科Talos一直在跟蹤一個對韓國和日本進行網路攻擊的高階威脅組織。這個組織有幾個不同的名字:Tick,Redbaldknight和Bronze Butler。儘管每個攻擊行動都使用了自定義工具,但Talos觀察到攻擊者使用了重複的基礎設施,從被劫持的命令和控制(C2)域名的重疊到解析為同一IP的不同攻擊行動的C2。這些基礎架構模式表明Datper,xxmm後門和Emdivi惡意軟體系列之間存在相似之處。在這篇文章中,我們將深入探討這些相似之處,並研究攻擊者使用的方法。
二、簡介
被稱為“Tick”,“Bronze Butler”和“Redbaldknight”的APT威脅行為者自2016年起開展了針對日本和韓國等東亞國家的間諜活動。Talos分析了最近的一起行動,其中位於韓國和日本的受感染網站被用作屬於Datper惡意軟體系列樣本的C2伺服器,Datper能夠在受害計算機上執行shell命令並獲取主機名和驅動器資訊。Talos在惡意軟體系列Datper,xxmm後門和Emdivi之間的共享基礎架構中發現了潛在的連結,每個惡意軟體系列都歸於上述三個別名之一的威脅行為者。我們通過VirusTotal獲得了Datper變體,這個用Delphi程式碼編寫的樣本是在2018年7月底提交的。儘管確切的攻擊媒介不清楚,威脅行為者選擇了一個合法但易受攻擊的韓國洗衣服務網站來託管他們的C2,如下所示。
合法的韓國洗衣店用作Datper C2主機
該網站位於whitepia [.] co.kr,不使用SSL加密或證書。用於C2通訊的特定URL是:hxxp://whitepia[.]co[.]kr/bbs/include/JavaScript.php
一旦執行,Datper變體就會建立一個名為“gyusbaihysezhrj”的互斥物件,並從受害者計算機中獲取若干條資訊,包括系統資訊和鍵盤佈局。之後,該示例嘗試向上述C2伺服器發出HTTP GET請求,該伺服器在撰寫本文時解析為IP 111[.]92[.]189[.]19。此請求的一個示例是:
GET /bbs/include/JavaScript.php?ycmt=de4fd712fa7e104f1apvdogtw HTTP/1.1 Accept: */* Content-Type: application/x-www-form-urlencoded User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko Host: whitepia[.]co.kr Cache-Control: no-cache
不幸的是,在本次調查時,C2伺服器不可用,這就阻止了Talos更進一步詳細的調查C2。但是,Talos能夠分析之前一項始於2017年的行動,它採用了該家族的類似樣本,並使用了略有不同的互斥體“d4fy3ykdk2ddssr”。下圖中與2017年活動相關聯的所有示例都使用了互斥物件“d4fy3ykdk2ddssr”,阻止執行期間其他程序的訪問。
2017年行動的C2通訊結構
該行動背後的攻擊者主要在韓國和日本部署和管理他們的C2基礎設施。我們確認,該攻擊者定期更改其C2基礎設施,並且有識別和滲透位於這些國家/地區的易受攻擊網站的歷史。除了whitepia [.] co [.] kr,我們還確定了其他用作C2伺服器的受感染網站例項。惡意軟體樣本是使用基於Web的攻擊傳遞的,例如偷渡式下載或水坑攻擊。此外,Talos還確定了用作C2伺服器的主機,這些主機可能未連線到受感染的網站。這表明威脅行為者可能最初在合法獲得(可能購買)的主機上部署了他們的C2伺服器基礎設施。用作C2域名的受感染網站的重疊關聯到另一個惡意軟體系列,稱為“xxmm後門”(或者“Murim”或“Wrim”),這是一個允許攻擊者安裝其他惡意軟體的惡意軟體系列。xxmm後門和Datper的GET請求URI路徑類似,如下所示:
xxmm backdoor: hxxp://www.amamihanahana.com/diary/archives/a_/2/index.php Datper: hxxp://www.amamihanahana.com/contact/contact_php/jcode/set.html
根據上述調查結果,自2016年以來,這兩種工具都在其C2基礎設施中使用了位於日本的相同網站。上圖中右側顯示的xxmm示例的雜湊為397a5e9dc469ff316c2942ba4b503ff9784f2e84e37ce5d234a87762e0077e25。
從樣本中提取的PDB除錯符號路徑:
·C:\Users\123\Documents\Visual Studio 2010\Projects\shadowWalker\Release\BypassUacDll.pdb
· C:\Users\123\Documents\Visual Studio 2010\Projects\shadowWalker\Release\loadSetup.pdb
· C:\Users\123\documents\visual studio 2010\Projects\xxmm2\Release\test2.pdb
· C:\Users\123\Desktop\xxmm3\x64\Release\ReflectivLoader.pdb
除了Datper和xxmm後門之間的關聯外,最近在2018年3月編譯的Datper變體使用合法網站作為C2,它解析為IP 211[.]13[.]196[.]164。這個相同的IP被Emdivi惡意軟體系列(一種在受感染機器上打開後門的木馬)用作C2基礎設施,歸於該行動背後的威脅行為者“Blue termite”。
2018年Datper和Emdivi行動的架構
對Datper和Emdivi所使用的域名資源記錄(RR)的被動DNS查詢進一步表明,這兩個惡意軟體系列都使用了此IP。
Datper的資源記錄
Emdivi的資源記錄
三、總結
Talos對該行為者進行的攻擊的調查顯示了Datper,xxmm後門和Emdivi惡意軟體系列之間存在共性。具體而言,這些相似之處在於利用這些惡意軟體系列進行攻擊的C2基礎結構。在這些攻擊中使用的一些C2域名解析為被劫持的、合法的韓國和日本主機,也可能已被攻擊者購買。利用這些惡意軟體系列的成功攻擊導致在受害計算機上執行shell命令,從而導致敏感資訊的潛在洩漏。思科安全產品以多種方式保護我們的客戶。
IOC/">IOCs:
Hashes
Datper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 backdoor
397a5e9dc469ff316c2942ba4b503ff9784f2e84e37ce5d234a87762e0077e25
Emdivi
9b8c1830a3b278c2eccb536b5abd39d4033badca2138721d420ab41bb60d8fd2
1df4678d7210a339acf5eb786b4f7f1b31c079365bb99ab8028018fa0e849f2e
用於C&C通訊的IP
202[.]218[.]32[.]135
202[.]191[.]118[.]191
110[.]45[.]203[.]133
61[.]106[.]60[.]47
52[.]84[.]186[.]239
111[.]92[.]189[.]19
211[.]13[.]196[.]164
C&C伺服器
hxxp://www.oonumaboat[.]com/cx/index.php
hxxp://www.houeikai[.]or.jp/images/ko-ho.gif
hxxp://www.amamihanahana[.]com/contact/contact_php/jcode/set.html
hxxp://www.amamihanahana[.]com/diary/archives/a_/2/index.php
hxxp://rbb.gol-unkai4[.]com/common/include/index-visual/index.htm
hxxp://www.whitepia[.]co.kr/bbs/include/JavaScript.php
hxxp://www.adc-home[.]com/28732.html
hxxp://www.sakuranorei[.]com.com/blog/index.php