小心来自节假日的祝愿:APT进击构造”黑格莎(Higaisa)”进击运动表露 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

小心来自节假日的祝愿:APT进击构造”黑格莎(Higaisa)”进击运动表露

申博_安全预警 申博 78次浏览 已收录 0个评论

申博APP下载

申博sunbet官网现已开放申博Sunbet网游戏手机版下载,进入官网申博sunbet官网即可进行申博手机APP下载,手机版操作更便捷,随身携带可随时随地享受游戏乐趣,手机版与电脑客户端差别不大,两者皆能为用户带来很好的娱乐时光,让客户第一时间掌握各种游戏信息,拥有更好的游戏体验感,是申博sunbet官网运营的原则,给你最简单的快乐,和你一起娱乐,让快乐成为联系你我的纽带,为你带来不一样的感觉!

,

一、概述

腾讯平安御见要挟情报中心曾经在2019年年终捕获到一次有意思的进击运动,该进击运动一向延续到现在。依据对该组织运动中所运用的进击手艺、被进击职员背景等剖析研判,我们以为该进击组织为来自朝鲜半岛的一个具有政府背景的APT进击组织。

依据腾讯平安御见要挟情报中心的大数据剖析发明,该组织的进击运动最少可以追溯到2016年,而一向延续活泼到现在。该组织常应用节假日、朝鲜国庆等朝鲜重要时刻节点来举行垂纶运动,钓饵内容包括新年祝愿、元宵祝愿、朝鲜国庆祝愿,以及重要消息、外洋职员联络录等等。

别的,该进击组织还具有挪动端的进击才能。被进击的对象还包括跟朝鲜相干的交际实体(如驻各地大使馆官员)、政府官员、人权组织、朝鲜外洋住民、商业往来职员等。现在监测到的受益国度包括中国、朝鲜、日本、尼泊尔、新加坡、俄罗斯、波兰、瑞士等。

关于该组织的归属,腾讯平安剖析了大批样本,我们确信其来自于朝鲜半岛。对进击背景剖析后,我们以为该组织为来自韩国的一个进击组织。从样本的手艺细节、基础设施等经由细致剖析后,我们还没有证据证实该组织跟韩国的另一进击组织DarkHotel(黑店)有关联,即便是进击对象、某些进击手段跟DarkHotel(黑店)有一些相似。

我们决议把该组织列为来自韩国的又一自力的进击组织,取名为”黑格莎(Higaisa)”。源于作者喜好运用的RC4的解密密钥为“Higaisakora”,取Higaisa的英译。

“黑格莎(Higaisa)”组织进击流程图:

现在尚不消除该组织为DarkHotel的某一分支。由于受限于样本、受控机、基础设施等等客观情况,可以在组织归属上存在一些细节的误判和脱漏,我们愿望平安社区同仁来配合完美该组织的一些细节。

值得注意的是,我们曾在腾讯平安2019年上半年APT总结报告中有说起该组织的进击运动,当时我们毛病的把该组织归属到了Group123。因而也借本文对该毛病归属举行订正和道歉,同时本文也对该运动举行更加细致的运动表露。若存在毛病,望平安同仁一起来斧正。

“黑格莎(Higaisa)”组织进击运动的完全手艺报告,请从这里下载:

 

https://pc1.gtimg.com/softmgr/files/higaisa_apt_report.pdf

 

二、进击历程

最初始的进击,从邮件垂纶最先,邮件内容以下:

邮件内容为韩语的除夕祝愿:

而从背面的剖析可知,在节假日发祝愿邮件投递歹意文件,是该组织的习用手法。

邮件的附件为一个紧缩包,解压后为一个可实行文件,该可实行文件其实为一个dropper木马:

实行后,会开释并翻开钓饵,以及开释歹意文件carsrvdx.sed到体系目次并经由过程设置注册表建立效劳使得该dll以体系效劳的体式格局开机自启动完成耐久化:

个中,payload文件加密存储在资本中,开释的历程触及简朴的RC4解密,密钥为ssove0117:

开释的carsrvdx.sed现实为一个downloader,该文件起首会组织url,从http://info.hangro.net/file/start?session=[8位随机数字]&imsi=0猎取要下载的文件名:

获得文件名avp.exe、avpif.exe后再组织以下URL举行下载后再组织以下URL举行下载:

http://info.hangro.net/file/start?session=[8位随机数字]&imsi=avp.exe

http://info.hangro.net/file/start?session=[8位随机数字]&imsi=avpif.exe

下载返来的文件一样须要经由简朴的RC4解密,密钥为Higaisakora.0。下载返来的文件avp.exe(fca3260cff04a9c89e6e5d23a318992c),是一个基于gh0st开源远控框架修正而来长途掌握木马,除了敕令分发和数据包紧缩算法弃用本来的以外,其他内容未发明严重修改,基础保存的本来的框架。

而敕令分发部份修改较大,删除了绝大部份的敕令处置惩罚函数,只保存了插件治理功用,木马的一切功用都将经由过程插件完成,胜利下载了返来的插件为FileManager.dll(dd99d917eb17ddca2fb4460ecf6304b6,注:内存加载不落地),为文件治理插件,其敕令分发与gh0st源码相似性达90%以上:

下载返来的别的一个文件为avpif.exe (77100e638dd8ef8db4b3370d066984a9),该文件的功用主如果收集体系信息,并回传。

收集的信息包括:

》体系信息:计算机硬件、体系版本、用户信息、体系补丁、网卡信息等

》收集信息:本地收集信息

》历程列表

》显现域、计算机、等共享资本的列表

》C盘文件列表

》D盘文件列表

》E盘文件列表

收集完成后加密上传到效劳器中,上传url为:http://180.150.227.24/do/index.php?id=ssss

三、关联剖析

经由过程腾讯平安御见要挟情报中心的大数据剖析和发掘,我们发明大批跟该进击相干的样本。我们对该组织的进击运动举行梳理,使我们对该组织的进击运动有更深切的相识。

1、初始进击

经由过程监测发明,进击运动均为运用鱼叉邮件进击的体式格局。而进击的时刻窗口基础都在重要节假日。经由过程发送节日祝愿,附带歹意文件的体式格局举行进击。

我们依据payload解密的暗码” Higaisakora.0″举行搜刮,搜刮到了另一篇剖析文章:

https://malware.prevenity.com/2018/03/happy-new-year-wishes-from-china.html

虽然没法猎取该报告中的样本,但依据报告中的截图和形貌,可以确定为统一木马的差别变种。而依据该文章的表露,进击体式格局一样为经由过程在节假日发送祝愿邮件,并附带歹意文件的体式格局:

别的,有意思的是,我们发明该邮件的发送邮箱为gov.cn的邮箱,我们猜想进击者可以起首攻破了某gov.cn的邮箱,然后应用该邮箱继续举行垂纶事情。一样我们发明发件人邮箱一样存在china字眼,因而我们猜想,该组织习气应用跟中国有关的邮箱做为跳板来举行下一步的进击。

2、进击钓饵

钓饵的范例依据文件品种分为两类,一类为可实行文件,另一类为歹意文档类。

1)可实行文件类钓饵:

可实行文件类又分为两个范例:

范例一:假装为图像文件或文档文件,运转后会开释相干的图片或文档

该范例的可实行文件的图标平常要么假装成word、excel、pdf、txt、邮件等软件的图标,要么直接是图片的内容图标:

内容重要分为:

(1)传统节假日问候,如新年、元宵节、端午节、圣诞节等:

(2)朝鲜国庆、领导人纪念日等相干:

(3)消息

(4)其他(包括色情图片或文本):

范例一钓饵的手艺特性

1、将payload及假装文件存放在PE资本中;

2、假装文件未加密无需解密,payload需运用RC4解密后开释;

3、字符串以部分数组的情势存储,绝大部份API函数运用动态挪用;

使用Ghidra对WhatsApp VOIP Stack 溢出漏洞的补丁对比分析

0x01 样本对比 · 存在漏洞的WhatsApp应用程序 · 版本2.19.133 · 763ab8444e085bd26336408e72ca4de3a36034d53c3e033f8eb39d8d90997707 · 使用 9daaa009e08ac55168aeacdc34dd9c1d7a8f8a49048de949ddaf8a61997b324f  libwhatsapp.so · https://www.ap

4、开释payload后,建立体系效劳将其加载实行。

别的,我们发明这些钓饵内容都异常的实时,如某一钓饵为一个消息,讲的是牡丹峰团长玄松月在平昌冬奥会前接见韩国:

经由过程搜刮,该消息是2018年1月22日:

而发明的应用该钓饵进击的另一进击样本(fa8c53431746d9ccc550f75f15b14b97),其编译日期为1月26日:

可以发明该组织异常善于应用最新热点消息

范例二:假装成Winrar、Teamview、播放器等常用软件

小心来自节假日的祝愿:APT进击构造

如运转后,除了开释底本的装置文件外,还会开释gh0st木马:

开释文件途径:C:\WINDOWS\system32\dilmtxce32.dll,而开释的文件一样须要经由过程解密,密钥为HXvsEoal_s。

2)歹意文档型钓饵:

我们发明的另一个进击母体为(a5a0bc689c1ea4b1c1336c1cde9990a4),其途径为\AppData\Roaming\Microsoft\Word\STARTUP\winhelp.wll,而该目次为word的启动文件夹,当word启动的时刻,会自动加载该目次下的模块文件。因而该手段常做为office后门加载体式格局的重要手段。

遗憾的是,我们并未猎取到相干的文档文件,因而尚不知该启动文件是实行了某一歹意文档开释的(由于有许多进击钓饵会应用破绽等体式格局开释相干歹意文件到word启动目次),照样其他的母体开释到该目次的。不过我们以为由某一歹意文档经由过程破绽开释的可以性更大。

该wll文件加载后,会开释文件在%USERPROFILE%\PolicyDefinitions\MMCSnapins.exe,该文件是个downloader,下载返来的文件有3个,分别为infostealer木马,用于盗取文件目次构造;gh0st RAT插件版;另一个未知的完全功用的RAT木马。

3、解密暗码

我们发明该组织异常喜好运用RC4加密算法,如解密开释的payload,解密下载返来的文件等。我们发明他的payload的解密暗码跟跟着时刻而举行变化,然则downloader下载返来的文件解密木马一直都为Higaisakora.0。现在其解密payload的最新运用的暗码为XsDAe0601。我们整理了一份时刻和暗码的对应表以下(雷同的暗码只取了一个):

小心来自节假日的祝愿:APT进击构造

可以看到,跟着时刻的变化,暗码也响应的举行了变化。虽然暗码上并未有响应的规律可以猎取,然则最少也说清楚明了作者一向在举行更新。

4、其他文件剖析

我们还在相干受控机上发明大批其他文件,置信是该组织下发用来举行延续渗入和横向挪动的东西。详细以下:

1)键盘纪录器

文件BioCredProv.exe(6e95c5c01f94ef7154e30b4b23e81b36)

用于纪录按键、窗口信息。

2)邮件相干

out1 .exe (901e131af1ee9e7fb618fc9f13e460a7),

pdb为:E:\code\PasswordRecover\do_ok\OutlookPassRecover\Release\OutlookPassRecover.pdb

该文件的功用是outlook暗码盗取,盗取的outlook账号暗码保存到c:\users\public\result.dat。

文件out12.exe (08993d75bee06fc44c0396b4e643593c),pdb途径为:

E:\code\PasswordRecover\outlook\OutlookPasswordRecovery-master\OutlookPasswordRecovery\obj\Release\OutlookPasswordRecovery.pdb

该文件的功用一样为盗取outlook账号暗码,盗取的信息保存为Module.log。

依据pdb的途径在github上搜刮,发清楚明了该工程:

https://github.com/0Fdemir/OutlookPasswordRecovery

跟文件里的完全一致:

3)非插件版的Gh0st RAT

之前发明的gh0st RAT均为插件版的gh0st RAT,也就是说一切功用经由过程插件来完成,然则我们在某台受控机上还发明一个非插件版的gh0st RAT,而且经由过程Installer解密数据文件.vnd后实行。

装置器的文件途径为:E:\360Rec\sun.exe(cc63f5420e61f2ee2e0d791e13e963f1)

末了解密后生成的文件

C:\\Windows\\system32\\PRT\\WinDef32.dll(c5f0336b18a1929d7bd17d09777bdc6c)就为非插件版的gh0st。

个中主敕令分发,只保存了部份gh0st功用,包括文件治理、屏幕监控、键盘纪录、长途Shell等,而文件治理功用,保存了gh0st RAT文件治理的悉数指令,并增加了猎取和设置文件时刻的功用。

5、挪动端木马剖析

经由过程拓展剖析,我们还发清楚明了几个安卓木马,如검찰청(翻译:监察厅)

.apk(8d3af3fea7cd5f93823562c1a62e598a):

小心来自节假日的祝愿:APT进击构造

该apk实行后界面以下:

假装韩国检察厅APP,重要为接见网站http://www.spo.go.kr/spo/index.jsp。

现实上该app为一个远控木马,可以完成手机截屏、GPS位置信息猎取、SMS短信猎取、通话录音、通讯录猎取、下载木马、上传文件等功用。

6、进击归属剖析

1)进击样本中的地区剖析

我们抽取了部份样本对编译的时刻戳举行了剖析(不包括被改动的):

小心来自节假日的祝愿:APT进击构造

可以发明编译的时刻重要发作在上午8点后,大部份时刻都在晚上23点前。根据普通人的生活习气,我们以为多是在东9区的进击者。恰好掩盖朝鲜半岛。

其次我们发明样本中涌现的naver.com字符:

小心来自节假日的祝愿:APT进击构造

naver为韩国最大的搜刮引擎和流派网站。

2)进击对象剖析:

由于钓饵内容险些都跟朝鲜有肯定的关联,包括朝鲜的国庆、朝鲜的联络人名单等;从垂纶目的对象来看,基础都为朝鲜的交际官、外洋住民、和朝有商业往来职员等等;从受控机属性来看也险些都为中朝商业职员。

因而我们推断进击的对象为与朝鲜相干的职员。

3)进击手段

进击手段包括垂纶、假装常用软件、下载插件等等,而且还具有多平台的进击才能。

4)结论

从上述剖析我们以为,进击者可以来自朝鲜半岛,由于进击目的为跟朝鲜相干,我们推断进击者可以来自韩国。其次,从进击手段、对象来看,跟韩国的别的一个APT进击组织DarkHotel(黑店)比较相似。然则,从样本、基础设施等剖析来看,我们并未发明有跟DarkHotel堆叠的部份,也未有明白证据证实跟DarkHotel相干。但我们并不消除该组织或为DarkHotel的分支。

鉴于此,我们决议临时把该进击小组列为一个自力的进击组织,取名为”黑格莎(Higaisa)”。源于作者喜好运用的RC4的解密密钥为“Higaisakora”,取Higaisa的英译。归属历程可以因信息有限,或存在毛病,我们愿望平安同仁一起来完美该组织的更多信息。

四、总结

当节假日降临,我们每每会收到来自各地的祝愿信息,尤其是单元的邮箱。然则一些心怀叵测的进击者每每应用此时机,附带歹意文件举行进击。而本次进击主如果针对朝鲜相干的一些政治实体、人权组织、商贸等关联单元和职员,因而也有涉及中国境内和朝鲜举行商业的一些职员。

别的,该进击组织的进击武器库也一向在举行更新,而且除了pc端,也具有挪动端进击的才能。我们推断,该进击运动必定还会继续举行下去,因而我们提示相干职员,肯定要进步平安意识,防止遭遇不必要的丧失。

五、平安发起

我们发起外贸企业及重要机构参考以下几点增强防备:

1、经由过程官方渠道或许正规的软件分发渠道下载相干软件;

2、郑重衔接公用的WiFi收集。若必需衔接公用WiFi收集,发起不要举行可以泄露机密信息或隐私信息的操纵,如收发邮件、IM通讯、银行转账等;最好不要在衔接公用WiFi时举行常用软件的升级操纵;

3、不要翻开不明泉源的邮件附件、纵然检察可疑文档也切勿启用宏代码;

4、实时装置操纵体系补丁和Office等重要软件的补丁;

原文地点: https://www.4hou.com/web/21399.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明小心来自节假日的祝愿:APT进击构造”黑格莎(Higaisa)”进击运动表露
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址