Kimsuky APT继续利用苹果后门攻击韩国政府GydF4y2Ba

这篇博文由侯赛因·贾齐撰写GydF4y2Ba.GydF4y2Ba

Kimsuky Apt-opt-ant-and铊，黑人女妖和天鹅绒chollima-是一位朝鲜威胁演员，自2012年以来一直活跃。该集团将网络间谍活动进行了主要在韩国的目标实体。2020年12月，KISA（韩国互联网和安全机构）提供了一个GydF4y2Ba详细的分析GydF4y2Ba关于Kimsuky使用的网络钓鱼基础设施和TTP来定位韩国。GydF4y2Ba

Malw必威平台APParebytes威胁情报小组正在积极监控这名参与者，并能够发现钓鱼网站、恶意文档和脚本，这些网站、恶意文档和脚本曾被用于攻击韩国政府内的高调人士。最近这些活动中使用的结构和TTP与KISA报告中所报告的一致。GydF4y2Ba

目标GydF4y2Ba

使用的诱惑之一Kimsuky命名为“외교부가판2021-05-07”在韩国语言翻译“外交部版2021-05-07”,这表明它的设计目标韩国外交部。根据我们收集的数据，我们已经确定，它是金苏基高度关注的一个实体。与韩国政府有关的其他目标包括:GydF4y2Ba

• 大韩民国外交部第一秘书GydF4y2Ba
• 韩国外交部第二秘书GydF4y2Ba
• 贸易部长GydF4y2Ba
• 韩国驻香港总领事馆副总领事GydF4y2Ba
• 国际原子能机构（原子能机构）核安全干事GydF4y2Ba
• 斯里兰卡大使馆驻州大使GydF4y2Ba
• 外交和贸易辅导员GydF4y2Ba

在目标政府旁边，我们还观察到Kimsuky收集了有关韩国大学和公司的信息，包括首尔国立大学和山岛金融安全公司以及KISA。这并不意味着威胁演员积极地瞄准它们，也不是他们被妥协。GydF4y2Ba

网络钓鱼的基础设施GydF4y2Ba

本集团有能力设置网络钓鱼基础设施，以模仿众所周知的网站和诱使受害者进入其凭据。这是此actor使用的主要方法之一，以收集稍后将用于发送Spearphishing Emails的电子邮件地址。本集团仍在使用先前在KISA报告中提到的类似网络钓鱼模型，其变化很小。GydF4y2Ba

作为示例，它们已将Mobile_Detect和Anti_ips模块添加到C类型到C型C（KISA报告），以便能够检测移动设备并根据该移动设备调整视图。此网络钓鱼模型具有基于从网络钓鱼电子邮件收到的参数值来显示英语或韩语的网络钓鱼页面。这款型号由Kimsuky部署到目标不仅是韩国讲的受害者，而且还有英语人口。GydF4y2Ba

我们观察到他们开发了不同的网络钓鱼技术来模拟以下网络服务并窃取证书:GydF4y2Ba

• GmailGydF4y2Ba
• hotmail.GydF4y2Ba
• Microsoft OutlookGydF4y2Ba
• nGydF4y2Ba
• daGydF4y2Ba
• 韩国NAVER网GydF4y2Ba
• 电报GydF4y2Ba
• 基萨GydF4y2Ba

我们已经确定了Kimsuky用于托管其网络钓鱼基础设施的几个url:GydF4y2Ba

http：//帐户[。]护目镜[。] HOL [。] es / myachountGydF4y2Ba
https：// myaccount [。]谷歌[。] newkda [。] com / signinGydF4y2Ba
http://myaccount谷歌新KDA网站/登录GydF4y2Ba
http：// myaccount [。]谷歌[。] nkaac [。]网/登录GydF4y2Ba
https://myaccounts-gmail署名GydF4y2Ba
http://myaccounts-gmail[韩国资讯网/签名GydF4y2Ba
http://myaccountcgmail，cgmail，cgmail，cgmail，cgmail，cgmail，cgmail，cgmail，cgmail，cgmail，cgmail，cgmail，cgmail，cgmail，cgmail，cgmail，cgmailGydF4y2Ba
https：//帐户[。] Google-Manager [。] Ga / SigninGydF4y2Ba
https：//帐户[。]谷歌登录[。] ga / v2GydF4y2Ba
[,] https://myaccount [] google-signin ga / signinGydF4y2Ba
https：//帐户[。] grnail-signin [。] ga / v2GydF4y2Ba
https://myaccount[GR指甲符号[ga/v2]GydF4y2Ba
https：// myachounts [。] grnail-signin [。] ga / v2GydF4y2Ba
https：//帐户[。] grnail-signin [。] ga / v2GydF4y2Ba
https：//保护[。] grnail-signin [。] ga / v2GydF4y2Ba
[,] https://accounts [] grnail-signing工作/ v2GydF4y2Ba
https://myaccount[.]grnail签名[.]工作/v2GydF4y2Ba
https：// myachout [。] grnail-security [。]工作/ v2GydF4y2Ba
https：//登录[。] gnail-login [。] mlGydF4y2Ba
https：//登录[。] gmail帐户[。] gqGydF4y2Ba
https：//登录gmrail [。] mlGydF4y2Ba
https：//登录[。] gmeil [。] kro [。] krGydF4y2Ba
https://account[]面罩(。)“kro。krGydF4y2Ba

该组使用Twitter帐户来查找和监控其目标，以准备精心制作的矛网络钓鱼电子邮件。该组还使用Gmail帐户用于网络钓鱼攻击或注册域。此actor使用的一个Gmail帐户是“Tjkim1991 @ Gmail [。] Com”，用于注册以下域：GydF4y2Ba

ns1.microsoft-办公室[。]我们GydF4y2Ba
ns2.microsoft-office(。)GydF4y2Ba

他们于4月3日注册，我们认为已被保留用于将来的竞选活动。从这些域枢转，我们能够揭示这个演员使用的基础设施。其中一些重叠与以前报告的Kimsuky运营的活动。GydF4y2Ba

命令和控制基础设施GydF4y2Ba

Kimsuky重新使用了一些网络钓鱼基础设施来进行指挥和控制通信。在最近一次针对韩国政府的攻击中，他们重新使用了曾经用于托管其钓鱼网站的基础设施，用于AppleSeed的后门C&C通信。除了使用AppleSeed后门来锁定Windows用户外，actor还使用了GydF4y2BaAndroid Backwoor.GydF4y2Ba针对Android用户。Android Backdoor可以被视为Appled Door的移动变种。它使用相同的命令模式作为Windows One。此外，Android和Windows后面都使用了相同的基础架构。提到这个演员称自己为铊也有趣。GydF4y2Ba

以下是C2通信演员使用的一些IP和域：GydF4y2Ba

210.16.120(。] 34 216.189.157[。89 45.58.55[。73 45.13.135[。103 27.102.114[。89 210.16.121[。137 58.229.208[。146 27.102.107[。63 download.riseknite[。]生活onedrive-upload.ikpoo[。] cf alps.travelmountain[。]毫升texts.letterpaper []GydF4y2Ba

苹果种子最近的攻击分析GydF4y2Ba

在本节中，我们提供了对用于针对韩国外交部的AppleseDohoor的分析。GydF4y2Ba

首次访问GydF4y2Ba

参与者已经分发了嵌入在存档文件中的滴管(외교부 가판 2021-05-07.zip）作为网络钓鱼电子邮件的附件。目标电子邮件地址是使用我们在上一节中描述的参与者电子邮件钓鱼活动收集的。该演员于2021年5月7日发起了这起网络钓鱼攻击。GydF4y2Ba

存档文件包含一个JavaScript文件（외교부가판2021-05-07.pdf.jse），它假装是包含两个Base64编码Blobs的PDF文件。第一个是Base64格式中诱饵PDF文件的内容，另一个也包含Appleseed有效载荷，也包含Base64格式（编码两次）。GydF4y2Ba

起初它使用了GydF4y2BaMSXML Base64GydF4y2Ba解码功能以解码第一层，然后使用GydF4y2BaCertutil.exe.GydF4y2Ba解码第二层并获得最终的ApppleSeed有效载荷。已使用MSXML Base64解码功能解码了假PDF文件。GydF4y2Ba

解码PDF和Appleseed有效载荷后，内容被写入GydF4y2Baprogramdata.GydF4y2Ba目录。最后，通过呼叫打开诱饵PDF文件GydF4y2Bawscript.shell.run.GydF4y2Ba通过调用GydF4y2BaRegsvr32.exe.GydF4y2Ba.打电话GydF4y2BaRegsvr32.exe.GydF4y2Ba要将DLL注册为其作为一个自动调用已命名的DLL导出函数的服务器GydF4y2BadllregisterserverGydF4y2Ba.GydF4y2Ba

powershell.exe-WindowsStyle隐藏regsvr32.exe/s AppleSeed_有效负载GydF4y2Ba

wscript_shell.run（pdf_name）;GydF4y2Ba

Applereed Backwoor.GydF4y2Ba

丢弃的有效负载是使用UPX打包器打包的DLL文件。未打包的示例非常模糊，重要的API调用和字符串已使用自定义加密算法加密。字符串和API调用的加密版本为十六进制ASCII格式。每当恶意软件在代码中需要使用字符串时，它都会获取加密字符串并将其传递到两个函数中进行解密。GydF4y2Ba

第一个函数“string_decryptor_prep”获取加密字符串，然后准备一个有四个元素的自定义数据结构：GydF4y2Ba

typedef struct _unicodestr {wchar_t * buffer;//加密字符串DWORD填充;uint64_t长度;//字符串uint64_t maxlength的长度;//基于Lenght} UnicoveStr的字符串计算的字符串的最大长度;GydF4y2Ba

第二个函数“String_decryptor”在上一个函数中获取创建的数据结构，然后解密字符串并将其放入相同的数据结构中。GydF4y2Ba

解密器功能首先通过调用Hex ASCII格式将输入字符串转换为二进制文件GydF4y2Bahexascii_to_binary.GydF4y2Ba函数在每个两个ascii字符上(即c3, 42, b1, 1d…在例1中)。然后输入的前16个字节被用作键，其余的是实际的值，以16字节块(即ed, d5, 0d, 60)进行解密。GydF4y2Ba
解密是一个简单的XOR操作GydF4y2BaKey [i] ^ string[i-1] ^ string[i]GydF4y2Ba（对于第一个字符String_to_be_decrypted [i-1]设置为零）。GydF4y2Ba

大多数重要API调用使用“String_decryptor”函数在运行时动态解析。（动态地解决了288个API呼叫。）GydF4y2Ba

AppleSeed有效负载有一个名为“DllRegisterServer”的导出函数，在使用RegSvr32.exe执行DLL时将调用该函数。DllRegisterServer有一个函数，负责执行DLL初始化和设置，包括以下步骤：GydF4y2Ba

• 抄袭GydF4y2Ba“C：\ programdata \ software \ estsoft \ common”GydF4y2Ba并重命名自己GydF4y2BaESTComon.dllGydF4y2Ba假装它是一个属于GydF4y2Baestsecurity.GydF4y2Ba公司。GydF4y2Ba
• 通过创建以下注册表项来使自己持久：GydF4y2Ba

注册表项名称：Estsoftautoupdate注册表项值：regsvr32.exe / s c：\ programdata \ software \ estsoft \ common \ ercommon.dll注册表位置：hklu \ software \ microsoft \ windows \ currentversion \ runonceGydF4y2Ba

• 通过创建以下文件进入功能激活GydF4y2Ba“C:\ProgramData\Software\ESTsoft\Common\flags”GydF4y2Ba目录并将“旗帜”写入它们：FolderMonitor，键盘Monitor，屏幕，USBMonitor。GydF4y2Ba

在下一步中，它会创建一个互斥体，以确保它只感染受害者一次。GydF4y2Ba

在创建互斥锁之后，它通过调用GydF4y2BagetTokentInformation.GydF4y2BaAPI调用，如果它没有正确的权限，它试图通过传递使用SquaryTokenPrivilege升级其权限GydF4y2BaSedebugprivilege.GydF4y2Ba以获得系统级特权。GydF4y2Ba

最后，它在单独的线程中执行其主要功能。每个线程中的所有收集的数据都被压缩和加密，并在单独的线程中使用HTTP POST请求发送到命令和控制服务器。将数据发送到服务器后，数据将从受害者的计算机中删除。GydF4y2Ba
Appplese的有效载荷正在使用RC4进行加密和解密数据。要生成RC4密钥，它通过调用创建117字节的随机缓冲区GydF4y2Ba隐生随机GydF4y2Ba然后用途GydF4y2Bacryptreatehash.GydF4y2Ba和GydF4y2Ba加密哈希数据GydF4y2Ba将缓冲区添加到MD5哈希对象中。然后调用cryptderiveKey生成RC4键。GydF4y2Ba
创建的117字节缓冲区使用RSA算法加密，并与RC4加密数据一起发送到服务器。RSA密钥为十六进制ASCII格式，并已使用“string_decryptor”函数解密。GydF4y2Ba

输入捕捉GydF4y2Ba（keylogger）GydF4y2Ba

keylogger功能使用GetKeyState和GetKeyboardState捕获受害者机器上按下的键，并将每个进程的所有键记录到log.txt文件中。GydF4y2Ba

屏幕截图GydF4y2Ba

该模块通过调用以下API调用序列来获取截图，并将它们写入文件:GydF4y2BaGetDesktopWindowGydF4y2Ba,GydF4y2BaGetDCGydF4y2Ba,GydF4y2BaCreateCompstibleDCGydF4y2Ba,GydF4y2BaCreateCompatibleBitMap.GydF4y2Ba,GydF4y2Babitblt.GydF4y2Ba和GydF4y2BaGetDIBitsGydF4y2Ba然后使用它们将它们写入文件中GydF4y2BaCreateFileWGydF4y2Ba和GydF4y2BaWriteFileGydF4y2Ba.GydF4y2Ba

收集可移动媒体数据GydF4y2Ba

此模块查找连接到机器的可移动媒体设备，并在将其发送到命令和控制服务器之前收集其数据。要识别USB驱动器，它调用cm_get_device_idw以检索格式化的设备实例ID“GydF4y2Ba \ GydF4y2Ba然后检查它是否包含USB字符串值。GydF4y2Ba

收集文件GydF4y2Ba

此线程在桌面、文档、下载和文档中查找txt、ppt、hwp、pdf和doc文件GydF4y2Baappdata \ local \ microsoft \ windows \ inetcache \ IEGydF4y2Ba对它们进行目录和归档，以便可以转移到服务器。GydF4y2Ba

命令结构GydF4y2Ba

AppleSeed后门正在使用一个两层命令结构来与它的命令和控制服务器通信。以下是用于C&C通信的URL模式:GydF4y2Ba

实体：url:？m=[命令层一]&p1=[卷序列号]&p2=[命令层二]GydF4y2Ba

命令层定义了在受害者上执行的服务器的命令类型，它可以具有以下值之一：GydF4y2Ba

命令GydF4y2Ba	描述GydF4y2Ba
A.GydF4y2Ba	ping模式(收集受害者信息，包括IP，时间戳，受害者操作系统版本)GydF4y2Ba
BGydF4y2Ba	上传数据模式GydF4y2Ba
CGydF4y2Ba	下载命令(等待命令)GydF4y2Ba
DGydF4y2Ba	删除命令GydF4y2Ba
EGydF4y2Ba	上传命令模式GydF4y2Ba
FGydF4y2Ba	列表目录模式GydF4y2Ba
GGydF4y2Ba	删除文件模式GydF4y2Ba
HGydF4y2Ba	检查文件模式的存在GydF4y2Ba

命令层2仅适用于命令层1处于上载数据模式（c）并定义上载类型的情况。它可以具有以下值之一：GydF4y2Ba

命令GydF4y2Ba	描述GydF4y2Ba
A.GydF4y2Ba	上传命令执行结果GydF4y2Ba
BGydF4y2Ba	上载文件和可移动媒体数据GydF4y2Ba
CGydF4y2Ba	上传屏幕截图GydF4y2Ba
DGydF4y2Ba	上传输入捕获数据（键盘记录数据）GydF4y2Ba

结论GydF4y2Ba

金苏基是主要针对韩国政府实体的朝鲜威胁分子之一。在这篇博客文章中，我们了解了这个组织的活动，包括它的钓鱼基础设施和命令和控制机制。我们的研究表明，该集团仍在使用类似2020年12月KISA报告的基础设施和ttp。它最近的行动是针对外交部利用苹果种子的后门。GydF4y2Ba

主教法冠ATT&CK技术GydF4y2Ba

策略GydF4y2Ba	IDGydF4y2Ba	的名字GydF4y2Ba	细节GydF4y2Ba
侦察GydF4y2Ba	T1598GydF4y2Ba	信息的信息钓鱼GydF4y2Ba	使用网络钓鱼收集电子邮件地址进行有针对性的攻击GydF4y2Ba
资源开发GydF4y2Ba	T1583.00GydF4y2Ba	获取基础设施：域GydF4y2Ba	在攻击前几个月购买和注册域名GydF4y2Ba
资源开发GydF4y2Ba	T1587.001GydF4y2Ba	开发功能:恶意软件GydF4y2Ba	开发AppleSeed后门进行攻击GydF4y2Ba
资源开发GydF4y2Ba	T1585.002GydF4y2Ba	建立账户:电子邮件账户GydF4y2Ba	创建电子邮件帐户以注册域并用于网络钓鱼攻击GydF4y2Ba
资源开发GydF4y2Ba	T1585.001GydF4y2Ba	建立账户：社交媒体账户GydF4y2Ba	使用Twitter来收集受害者的信息GydF4y2Ba
首次访问GydF4y2Ba	T1566.001GydF4y2Ba	网络钓鱼：网络钓鱼附件GydF4y2Ba	通过网络钓鱼电子邮件分发包含JS Dropper的存档文件GydF4y2Ba
执行GydF4y2Ba	T1059.001GydF4y2Ba	命令和脚本解释器：PowerShellGydF4y2Ba	使用PowerShell执行命令GydF4y2Ba
执行GydF4y2Ba	T1059.007GydF4y2Ba	命令和脚本解释器:JavaScriptGydF4y2Ba	使用JS来执行PowerShellGydF4y2Ba
坚持不懈GydF4y2Ba	T1547.001.GydF4y2Ba	启动或登录自动启动执行:注册表运行密钥/启动文件夹GydF4y2Ba	创建注册表Runonce密钥GydF4y2Ba
特权升级GydF4y2Ba	T1134GydF4y2Ba	访问令牌操作GydF4y2Ba	调整其令牌权限以具有GydF4y2BaSedebugprivilege.GydF4y2Ba
防守逃避GydF4y2Ba	T1134GydF4y2Ba	访问令牌操作GydF4y2Ba	调整其令牌权限以具有GydF4y2BaSedebugprivilege.GydF4y2Ba
防守逃避GydF4y2Ba	T1140GydF4y2Ba	解混淆/解码文件或信息GydF4y2Ba	- 使用命令GydF4y2BacertutilGydF4y2Ba解码Base64内容GydF4y2Ba - 解密来自服务器的数据GydF4y2Ba
防守逃避GydF4y2Ba	T1070.004GydF4y2Ba	在主机上删除指示灯：文件删除GydF4y2Ba	删除其exfiltrated数据以覆盖其曲目GydF4y2Ba
防守逃避GydF4y2Ba	T1112GydF4y2Ba	修改注册表GydF4y2Ba	修改运行注册表项GydF4y2Ba
防守逃避GydF4y2Ba	T1027GydF4y2Ba	混淆文件或信息GydF4y2Ba	- 所有字符串和API调用都使用自定义加密进行了混淆GydF4y2Ba –落下的有效载荷装有UPXGydF4y2Ba
防守逃避GydF4y2Ba	T1218.010GydF4y2Ba	签名二进制代理执行：REGSVR32GydF4y2Ba	通过Regsvr32负载有效载荷GydF4y2Ba
凭证访问GydF4y2Ba	T1056.001.GydF4y2Ba	输入捕获：键入GydF4y2Ba	记录受害者机器上的击键GydF4y2Ba
发现GydF4y2Ba	T1083.GydF4y2Ba	文件和目录发现GydF4y2Ba	获取文件和目录清单GydF4y2Ba
发现GydF4y2Ba	T1082GydF4y2Ba	系统信息发现GydF4y2Ba	收集OS类型和卷序列号GydF4y2Ba
收藏GydF4y2Ba	T1560GydF4y2Ba	归档收集的数据GydF4y2Ba	压缩和加密收集的数据之前，外流GydF4y2Ba
收藏GydF4y2Ba	T1005GydF4y2Ba	来自本地系统的数据GydF4y2Ba	从本地系统收集数据GydF4y2Ba
收藏GydF4y2Ba	T1025GydF4y2Ba	来自可移动媒体的数据GydF4y2Ba	从可移动媒体收集数据GydF4y2Ba
收藏GydF4y2Ba	T1056.001.GydF4y2Ba	输入捕获：键入GydF4y2Ba	记录受害者机器上的击键GydF4y2Ba
收藏GydF4y2Ba	T1113GydF4y2Ba	屏幕截图GydF4y2Ba	捕捉屏幕截图GydF4y2Ba
指挥与控制GydF4y2Ba	T1001GydF4y2Ba	数据混淆GydF4y2Ba	加密数据外渗GydF4y2Ba
指挥与控制GydF4y2Ba	T1071.001GydF4y2Ba	应用层协议：Web协议GydF4y2Ba	使用HTTP for命令和控制通信GydF4y2Ba
exfiltration.GydF4y2Ba	T1041.GydF4y2Ba	exfiltration在C2通道上GydF4y2Ba	通过与C2相同的通道转移数据GydF4y2Ba