这篇文章由Hossein Jazi和JérômeSegura撰写

5月29日,我们确认了一起袭击我们认为这是一项新行动的一部分由高级持续威胁行动者Higaisa发起。据信,Higaisa APT与朝鲜半岛有关,于2019年初由腾讯安全威胁情报中心首次披露。

本集团的活动至少返回到2016年,包括使用特洛伊木马,如GH0ST和Plugx,以及移动恶意软件。其目标包括政府官员和人权组织,以及与朝鲜有关的其他实体。

在这个最新事件中,Higaisa使用了恶意快捷档案,最终负责创建多级攻击,该攻击包括多个恶意脚本,有效载荷和诱饵PDF文档。

分配

威胁行为者使用了捆绑在存档文件中的恶意LNK文件,该文件很可能是通过鱼叉式网络钓鱼传播的。

我们确定了两种可能在5月12日到31日之间传播的活动变体:

  • “CV_Colliers.rar”
  • “项目链接和新版权策略.rar”

两个rar存档捆绑了两个恶意lnk文件。在较新的变量(CV_Colliers.rar)中,LNK文件被伪装成课程(CV)和国际英语语言测试系统(雅思)考试结果。较旧的(项目链接和新版权策略.rar)似乎瞄准正在使用的产品团队zeplin.io

下面显示执行恶意LNK文件时的整体过程流程。

图1:过程图

LNK文件

LNK文件包含运行时将执行的命令列表,以及一个blob,它是一个base64编码的压缩有效负载。下面是将要执行的命令列表:

图2:恶意lnk命令
  • 将LNK文件的内容拷贝到%APPDATA% temp目录下的" g4ZokyumB2DC4.tmp "目录下。
  • 将“Certutil.exe”的内容复制到“Gosia.exe”(“* ERTU * .exe用于绕过安全检测)。
  • 使用" findstr.exe "查找base64 blob,并将其写入" cSi1rouy4.tmp "。
  • 使用“gosia.exe -decode”(certutil.exe -decode)将“cSi1rouy4.tmp”的内容解码到“o423DFDS4.tmp”。
  • 使用“expand.exe -f:*”在Temp目录中的“O423DFDS4.TMP”中的“O423DFDS4.TMP”的内容解压缩(图3)。
  • 将“66DF3DFG.tmp”和“34fDKfSD38.js”文件拷贝到“C:\Users\Public\Downloads”目录下。
  • 通过调用WScript执行JS文件。
  • 打开诱饵文件。
图3:“o423DFDS4.tmp”cab文件的内容

由此LNK快捷方式执行的命令列表与Anomali上报告的命令相同Higasia Covid-19竞选活动.唯一的区别是tmp文件的名称和certutil.exe的名称,在这个新情况下是“gosia.exe”,而在3月份的活动的名称是“mosia.exe”。

嵌入到归档文件中的两个LNK文件都在使用不同的命令和控制(C&C)配置执行类似的命令。对它们进行比对会发现不同的假文件。

图4:CV Decoy文档
图5:雅思考试结果诱饵文件

JS文件

JavaScript文件执行以下命令:

  • 在“C:\Users\Public\Downloads”文件中创建“d3reEW.exe”文件,并保存“cmd / C ipconfig”文件。
  • 执行丢弃的“svchast.exe”。
  • 将“svchhast.exe”复制到启动目录中,并将其重命名为“OfficeUpdate.exe”。
  • 将officeupdate.exe添加到计划任务中。
  • 发送一个POST请求到一个硬编码的URL,数据为“d3reEW.exe”。
图6:JS内容
图7:发布请求

svchast.exe

svchast.exe是一个小型加载器,它加载存储在“66df3dfg.tmp”中的shellcode的内容。

图8:svchast.exe的主要功能

事实上,这个shellcode是最终shellcode的包装器。它执行一些检查,然后调用最终的shellcode。

图9:调用最终shellcode

最终的shellcode动态地解析导入,并为将要执行的内容分配内存。

图10:解析导入
图11:为新线程分配内存

最后,它调用“CreateThread”以在其内存空间内创建一个线程,使HTTPS请求到其C&C服务器。

图11:CreateThread

在分析的时候,服务器宕机了,所以我们无法清楚地确定这次攻击的最终目标。

逃避的链接技术

虽然大多数恶意软件活动使用一个简单的诱饵文件,通常检索恶意软件有效载荷,更高级的攻击者往往会尝试非传统的手段感染他们的受害者。

我们在实验室复制了这次攻击使用电子邮件作为感染载体,因为我们推测受害者是被鱼叉式网络钓鱼。必威平台APPMalwarebytes(在这个例子中星云商业版)从WinRAR停止LNK文件的执行,因此完全停止了攻击。

国际石油公司

cv_colliers.rar.
DF999D24BDE96DECDBB65287CA0986DB98F73B4ED477E18C3BEF100064BCEBA6D

项目链接和新版权策略.RAR
C3A45AAF6BA9F2A53D26A96406B6C34A56F364ABE1DD54D55461B9CC5B9D9A04

Vitae_wang lei_hong Kong博士大学.pdf.lnk
50D081E526BEEB61DC6180F809D6230E7CC56D9A2562DD0F7E01F7C6E73388D9

Tokbox图标-杂项和结束- iOS - Zeplin.lnk
1074654A3F3DF73F6E0FD0AD81597C662B75C273C92B75C273C92DC75C5A6BEA81F093EF81

国际英语语言测试系统证书。pdf
c613487a5fc65b3b4ca855980e33dd327b3f37a61ce0809518ba98b454ebf68b

Vitae_wang lei_hong Kong博士大学.pdf.lnk
DCD2531AA89A99F009A740AB43D2AA2B8C1ED7C8D7E755405039F3A235E23A6

对话- iOS -滑动图标- Zeplin.lnk
C0A0266F6DF7F1235AB4AAD554248C9C5CCE7409FC77B56BD5

C2域(ipconfig exfiltering)
sixindent [] epizy。com
goodhk [] azurewebsites。净
赞贝林(。)atwebpages。com

svchast.exe使用的C2s
45.76.6 [。] 149
www.ComCleanner [。]信息

斜切ATT&CK技术

策略 ID 的名字 细节
执行 T1059 命令行界面 启动CMD.EXE命令(WinRAR.exe, wscript.exe)执行
T1106 通过API执行 应用程序(Acrord32.exe)启动自己
T1053 预定的任务 加载任务调度程序DLL接口(Officeupdate.exe)
T1064 脚本 执行脚本(34fdfkfsd38.js)
T1204 用户执行 用户手动执行(打开LNK文件)
持久性 T1060 注册表运行密钥/启动文件夹 写入开始菜单文件(OfficeUpdate.exe)
T1053 预定的任务 使用任务调度程序运行其他应用程序(Officeupdate.exe)
特权升级 T1053 预定的任务 使用任务调度程序运行其他应用程序(Officeupdate.exe)
防守逃避 T1064 脚本 执行脚本(34fdfkfsd38.js)
T1140 解混淆/解码文件或信息 Certutil解码Base64二进制文件,展开.exe解压缩CAB文件
发现 T1012 查询注册表 从注册表中读取机器GUID
T1082. 系统信息发现 从注册表中读取机器GUID
T1016 发现系统网络配置 使用ipconfig.exe发现IP​​地址