思科Talos團(tuán)隊(duì)在最新的報(bào)告中將自2017年起至今發(fā)現(xiàn)的六起針對韓國公民的網(wǎng)絡(luò)釣魚攻擊活動(dòng)歸因于一個(gè)名為“Group123”的韓國黑客組織,且都利用了遠(yuǎn)控工具ROKRAT。
這六起網(wǎng)絡(luò)釣魚活動(dòng)被追蹤為:
2016年11月至2017年1月-"罪惡的新年(Evil New Year)";
2016年8月至2017年3月-"黃金時(shí)間(Golden Time)" ;
2017年3月-"你快樂嗎(Are you Happy)?";
2017年5月-"FreeMilk" ;
2017年11月-"朝鮮人權(quán)(North Korean Human Rights)";
2018年1月-"罪惡的新年2018(Evil New Year 2018)" 。
思科報(bào)告韓國黑客組織“Group123”針對韓國公民發(fā)起的6起網(wǎng)絡(luò)釣魚活動(dòng)-E安全
"罪惡的新年”和“罪惡的新年2018”
前者發(fā)生在2016年11月,并一直持續(xù)到2017年1月。后者則是前者的復(fù)制,開始于今年1月2日,主要目的是誘導(dǎo)受害者打開一個(gè)由攻擊者使用韓國辦公軟件Hancom Office 創(chuàng)建的惡意HWP文檔。
思科報(bào)告韓國黑客組織“Group123”針對韓國公民發(fā)起的6起網(wǎng)絡(luò)釣魚活動(dòng)-E安全
電子郵件偽裝成來自韓國統(tǒng)一部,而惡意HWP文檔命名被描述為“2017朝鮮領(lǐng)導(dǎo)人新年演說分析”,文檔正文中還使用了韓國統(tǒng)一部的官方標(biāo)識(shí)。
思科報(bào)告韓國黑客組織“Group123”針對韓國公民發(fā)起的6起網(wǎng)絡(luò)釣魚活動(dòng)-E安全
事實(shí)上HWP文檔包含一個(gè)嵌入式EPS對象,攻擊者使用EPS是為了利用已知的漏洞(例如CVE-2013-0808)下載并執(zhí)行隱藏在偽裝為jpg圖片中的shellcode。在這種情況下,shellcode將從內(nèi)存中下載并解碼ROKRAT的無文件變種作為最終的有效載荷。
與之前的Group123活動(dòng)中分發(fā)的ROKRAT樣本非常相似,該變種利用Yandex、pCloud、Dropbox和Box等云平臺(tái)來掃描文檔并與攻擊者進(jìn)行交互。
“黃金時(shí)間”
發(fā)生在2016年8月至2017年3月,與Group123的大部分活動(dòng)一樣,在這次活動(dòng)中最初的攻擊媒介是魚叉式網(wǎng)絡(luò)釣魚。
在這起活動(dòng)中,Talos團(tuán)隊(duì)確定了兩種不同類型的電子郵件。第一封電子郵件中的附件被描述為“朝鮮會(huì)議_統(tǒng)一考試文件”, 在電子郵件的正文中,攻擊者甚至表示完成文檔的人將得到一筆“小額費(fèi)用”;第二封電子郵件是關(guān)于一個(gè)叫“Ewing Kim”的人正在尋求幫助的故事,電子郵件的附件是兩個(gè)不同的HWP文檔,均利用相同的漏洞(CVE-2013-0808)。
思科報(bào)告韓國黑客組織“Group123”針對韓國公民發(fā)起的6起網(wǎng)絡(luò)釣魚活動(dòng)-E安全
思科報(bào)告韓國黑客組織“Group123”針對韓國公民發(fā)起的6起網(wǎng)絡(luò)釣魚活動(dòng)-E安全
兩封電子郵件的最終目的都是為了下載ROKRAT,這個(gè)ROKRAT變種的首要任務(wù)是檢查受感染設(shè)備操作系統(tǒng)版本。如果檢測到Windows XP,則將執(zhí)行無限循環(huán),其目的是在運(yùn)行Windows XP系統(tǒng)設(shè)備的沙箱系統(tǒng)上生成空報(bào)表。
此外,它還會(huì)檢查以確定常用分析工具是否正在受感染的系統(tǒng)上運(yùn)行。如果檢測到這些工具的存在,惡意軟件會(huì)向合法網(wǎng)站執(zhí)行兩個(gè)網(wǎng)絡(luò)請求,其中一個(gè)請求會(huì)打開一個(gè)名為“黃金時(shí)間”的日本動(dòng)漫。
思科報(bào)告韓國黑客組織“Group123”針對韓國公民發(fā)起的6起網(wǎng)絡(luò)釣魚活動(dòng)-E安全
ROKRAT的特征之一是使用社交網(wǎng)絡(luò)和云平臺(tái)與攻擊者進(jìn)行交互,這些平臺(tái)是用來滲透文件和接收指示的,這包括Twitter、Yandex和Mediafire。
“你快樂嗎?”
這是Talos團(tuán)隊(duì)最后才確認(rèn)與Group123有關(guān)的一起網(wǎng)絡(luò)釣魚活動(dòng),發(fā)生在2017年3月份。
在這個(gè)活動(dòng)中,攻擊者部署了一個(gè)名為“ERSP.enc”的ROKRAT模塊。這是一個(gè)硬盤擦除器,能夠打開受感染設(shè)備的硬盤并將數(shù)據(jù)寫入主引導(dǎo)記錄(Master Boot Record,MBR)。
惡意軟件在重新引導(dǎo)受感染設(shè)備啟動(dòng)后,MBR顯示一個(gè)字符串——“你快樂嗎?(Are you Happy ?)”
“FREEMILK”
發(fā)生在2017年5月份的“FreeMilk”活動(dòng)與其他活動(dòng)不同,它針對了數(shù)家非韓國金融機(jī)構(gòu)(如位于中東的銀行、總部位于歐洲的提供商標(biāo)和知識(shí)產(chǎn)權(quán)服務(wù)的公司、國際性的體育組織以及與亞洲東部和北部的國家有間接關(guān)系的個(gè)體)。
另外,在這個(gè)活動(dòng)中,攻擊者一改常態(tài),并沒有使用他們所慣用的HWP文檔,轉(zhuǎn)而利用惡意的Microsoft Office文檔。且利用了較新披露的漏洞CVE-2017-0199(一個(gè)Microsoft Word Office/WordPad遠(yuǎn)程代碼執(zhí)行漏洞),Group123在漏洞公開披露后不到一個(gè)月就對其進(jìn)行了利用。
在這個(gè)活動(dòng)中,攻擊者使用了兩個(gè)不同的惡意二進(jìn)制文件:PoohMilk和Freenki。PoohMilk的存在只是為了下載Freenki,而Freenki用于收集有關(guān)受感染系統(tǒng)的信息并下載后續(xù)階段的有效載荷。該惡意軟件已于2016年在多個(gè)惡意廣告活動(dòng)中被使用,并與ROKRAT存在有一些代碼重疊。
“朝鮮人權(quán)”
2017年11月,Talos團(tuán)隊(duì)觀察到了這起活動(dòng),其中包含一個(gè)新版ROKRAT。
Group123也重新使用起了他們慣用的HWP文檔,內(nèi)容描述了一個(gè)11月1日在韓國首爾舉行的會(huì)議的相關(guān)信息。
據(jù)內(nèi)容來看,這個(gè)文件是由一個(gè)自稱代表“朝鮮人權(quán)和統(tǒng)一朝鮮半島公民聯(lián)盟”的法定代表人撰寫的。
思科報(bào)告韓國黑客組織“Group123”針對韓國公民發(fā)起的6起網(wǎng)絡(luò)釣魚活動(dòng)-E安全
這個(gè)新版ROKRAT包含反沙盒技術(shù),這是通過檢查以下庫是否加載到受感染設(shè)備上來執(zhí)行的:
SbieDll.dll;
Dbghelp.dll;
Api_log.dll;
Dir_watch.dll。
此版本的ROKRAT還附帶了瀏覽器信息竊取機(jī)制,與Group123在2016年使用的Freenki類似,但進(jìn)行了一些修改。并繼續(xù)使用云平臺(tái),這包括:pCloud、 Dropbox、Box 和Yandex。
以下是上述提到的六起活動(dòng)的相似點(diǎn)與差異:
思科報(bào)告韓國黑客組織“Group123”針對韓國公民發(fā)起的6起網(wǎng)絡(luò)釣魚活動(dòng)-E安全
Talos團(tuán)隊(duì)表示,事實(shí)證明,Group123雖然主要在韓國活動(dòng),但這并不表示它只會(huì)局限于韓國。對于國際目標(biāo)而言,他們能夠切換到更為有效的攻擊媒介,例如使用Microsoft Office文檔,而不是固定不變的使用HWP文檔。
但這些活動(dòng)或多或少都會(huì)存在一些共同點(diǎn),不僅包括ROKRAT,還包括使用HWP文檔、類似的PDB(程序數(shù)據(jù)庫)模式和偵察代碼,以及在某些有效載荷中存在的瀏覽器信息竊取器。