导语:Talos发现了针对韩国用户的新的恶意HWP文档,以美朝元首会晤展望为诱饵。目前有一定把握认为此次行动以及使用的NavRAT与Group123相关联。
概述
Talos发现了针对韩国用户的新的恶意HWP(韩文文字处理器)文档。如果打开恶意文档,就会下载我们称之为NavRAT的特洛伊木马,它可以在受害机器上执行各种操作,包括命令执行,并具有键盘记录功能。
该诱饵文档被命名为“미북정상회 전망및대비.hwp“(美朝元首会晤展望.hwp)。HWP文件主要在韩国使用。文档中嵌入了一个封装的PostScript(EPS)对象,可以在受害系统上执行恶意shellcode。其目的是下载并执行托管在受控制网站上的其它有效载荷:NavRAT。
这是一个经典的RAT,可以在受害主机上下载,上传,执行命令,执行键盘记录。但是,指挥和控制(C2)基础设施非常特别。它使用合法的Naver电子邮件平台通过电子邮件与攻击者进行通信。上传的文件通过电子邮件发送,下载的文件从电子邮件附件中检索。我们已经观察到滥用免费电子邮件平台的恶意软件,但这是第一次发现使用Naver(以其在韩国的受欢迎程度而闻名)的恶意软件。溯源是一个最有趣的问题——谁是这个恶意软件的幕后真凶?此前,我们发布了关于Group123的几篇文章(here, here, here, here 和here)。我们目前有一定把握认为此次行动以及NavRAT与Group123相关联。
一、恶意文档
诱饵文档
攻击从一个包含名为“미북정상회담및및대비.hwp”(美朝峰会展望.hwp)的HWP文件的钓鱼电子邮件开始。这引用了可能在6月12日发生的合法事件。以下是该文档的屏幕截图:
这份文件解释了美朝峰会之前的担忧,预计这次峰会将集中讨论无核化问题。在2018年4月27日意在朝鲜半岛和平、繁荣和统一的“板门店宣言”之后,此次峰会是朝鲜外交外联的最新迹象。该文件包含上述EPS对象。该对象用于在系统上执行恶意shellcode。这是使用HWP文档时攻击者常见的载体,这是我们以前遇到和描述过的。
恶意代码
正如我们在之前有关恶意文档的文章中已经提到的,从攻击者的角度来看,EPS是有效的。它是一种功能强大的基于堆栈的脚本语言,在恶意情况下,会被滥用以获取其它有效载荷。这是文件的内容:
/shellcode <90909090909090909090E800<...redacted…>4D2D6DC95CBD5DC1811111111111111> def<7B0D0A2756...redacted…>312067657420636C6F736566696C650D0A717569740D0A7D>token pop exch popExec
执行的shellcode将首先执行解码程序,该程序旨在从互联网下载其它的有效载荷。在我们的例子中,文件URI是:
hxxp://artndesign2[.]cafe24[.]com:80/skin_board/s_build_cafeblog/exp_include/img.png
这个网站是一个合法的韩国网站。我们假设这个网站已被控制,以便为目标系统提供最终的有效载荷。这是我们以前在攻击朝鲜半岛时发现的一种方法。图像直接下载,shellcode在内存中加载并执行。这是仅通过在受害主机的内存中运行恶意进程来执行无文件可执行程序的示例。其目的是使用以下路径释放并执行已解码的可执行文件:
%APPDATA%\Local\Temp\~emp.exe
一旦执行,NavRAT将立即利用cmd.exe对其正在运行的系统执行systeminfo和tasklist检查,同时将输出写入TMP文件,再次尝试隐藏在AhnLab文件夹中。有趣的是,攻击者已经使用>>方法追加到文件中,以便可以将多个输出写入到他们的单个TMP文件中:
"C:\Windows\system32\cmd.exe" /C systeminfo >> "C:\Ahnlab\$$$A24F.TMP" "C:\WINDOWS\system32\cmd.exe" /C tasklist /v >> "C:\Ahnlab\$$$A24F.TMP"
二、NAVRAT
功能
NavRAT是一种远程访问木马(RAT),旨在上传、下载和执行文件。分析的示例包含许多详细日志。恶意软件的作者将每个操作记录到文件(编码)。我们通常不能使用攻击者自己的日志记录功能来促进分析,这可以使我们的研究更容易。
此屏幕截图显示了API注入过程中的日志消息。
NavRAT通过将自身(〜emp.exe)复制到%ProgramData%\Ahnlab\GoogleUpdate.exe路径开始。它使用韩国的知名安全公司AhnLab的路径。然后NavRAT创建一个注册表项,以便在系统的下次重启时执行此文件副本,这是一种原始的持久化方法。之前提到的日志文件与受害机器上的NavRAT存储在同一个目录中,这又使我们可以轻松找到并分析其他日志文件。
NavRAT支持进程注入。通过使用此方法,它会将自身复制到正在运行的Internet Explorer进程中,以避免通过作为独立进程运行被检测。恶意软件能够在目标用户的系统上注册键盘记录器:
这个RAT最有趣的部分是C2服务器架构。恶意软件使用Naver电子邮件平台与运营商进行通信。
C&C
恶意软件与Naver电子邮件平台进行通信,以便与运营者进行通信。凭证在示例中进行了硬编码:
但是,在我们的调查中,NavRAT无法与电子邮件地址进行通信:
[05/30/2018, 17:39:45] NaverUpload Start!! [05/30/2018, 17:39:46] NaverUpload :PreUploading success [05/30/2018, 17:39:46] uploading step-1 : HttpSendRequest failed. Err[12150] [05/30/2018, 17:39:46] ////////////// Response Headers getting failure ////////// [05/30/2018, 17:39:46] NaverUpload :Uploading failed. Try[0] [05/30/2018, 17:39:47] uploading step-1 : HttpSendRequest failed. Err[12150] [05/30/2018, 17:39:47] ////////////// Response Headers getting failure ////////// [05/30/2018, 17:39:47] NaverUpload :Uploading failed. Try[1] [05/30/2018, 17:39:48] uploading step-1 : HttpSendRequest failed. Err[12150] [05/30/2018, 17:39:48] ////////////// Response Headers getting failure ////////// [05/30/2018, 17:39:48] NaverUpload :Uploading failed. Try[2] [05/30/2018, 17:39:49] uploading step-1 : HttpSendRequest failed. Err[12150] [05/30/2018, 17:39:49] ////////////// Response Headers getting failure ////////// [05/30/2018, 17:39:49] NaverUpload :Uploading failed. Try[3] [05/30/2018, 17:39:51] uploading step-1 : HttpSendRequest failed. Err[12150] [05/30/2018, 17:39:51] ////////////// Response Headers getting failure ////////// [05/30/2018, 17:39:51] NaverUpload :Uploading failed. Try[4] [05/30/2018, 17:39:52] UploadProc : UploadFile Err [05/30/2018, 17:39:52] PreCommProc : UploadProc failed
通信被中断是因为Naver所实施的保护。大概是恶意软件在太多不同的国家执行,目前该帐户被锁定:
密码必须通过提供账户信息或所有者的手机(电话号码位于英国)重置。在目前的状态下,NavRAT无法正常工作。我们假设恶意软件的所有者不知道Naver实施了这种保护。
NavRAT能够下载并执行收到的电子邮件附件中的文件。它可以删除电子邮件,最后,它可以通过Naver帐户发送电子邮件。在我们的示例中,数据试图发送到:chioekang59 @ daum [.] net。
历史渊源
在我们的调查中,我们试图找到更多的NavRAT样本。我们只识别了2016年5月编译的一个旧样本。与我们的情况一样,此旧样本使用假AhnLab目录来存储日志文件(C:\AhnLab\)。在此版本中,编译路径未被删除:
N:\CodeProject\VC_Code Project\Attack_Spy\mailacounts.com\src_total_20160430 - v10.0(DIV)\bin\PrecomExe(Win32).pdb
我们可以得出结论,NavRAT自2016年以来可能一直存在,我们认为该版本当时是第10版。攻击者似乎一处于隐蔽状态。我们认为这种恶意软件一直使用得很少,只用于非常特殊的目标。
三、与GROUP123相关?
在探索韩国恶意软件领域时,我们总会遇到与Group123可能存在关联的任何问题。我们确定了一些认为具有中等信度的相关点,表明此组织之前使用了Group123参与的TTP。操作方式与以前的Group123活动相同——一个嵌入EPS对象的HWP文档,其中含有恶意shellcode。嵌入式对象的shellcode旨在下载一个图像,实际上,这是一个用于解码嵌入式可执行文件的新shellcode。我们看到Group123在以前的攻击中使用了完全相同的方法。其中一个例子是ROKRAT,这是我们在2017年4月发现的针对朝鲜半岛的另一个远程访问特洛伊木马。
EPS对象中使用的shellcode并不完全相同,但它包含了很多相似之处:指令数量的相似性, NOP(无操作)的数量和几乎相同的命令布局。(左边是NavRAT,右边是ROKRAT的shellcode):
我们对位于下载的图像文件中的shellcode执行了相同的分析,shellcode并不完全相同,但设计非常相似。
此外,我们可以添加受害者并使用公共云平台作为C2服务器。攻击者已从Yandex,Pcloud,Mediafire,Twitter迁移出,现在正在使用Naver。该平台主要在韩国本地使用。与此平台的连接不能被识别为恶意活动,恶意流量隐藏在全局流量中。
由于所有这些因素,我们以中等信心评估NavRAT和此行动与Group123相关。恶意软件开发人员可能与Group123的工作团队中的其他人不同,但感染框架和操作模式是相同的。当Talos发表Olympic Destroyer时,我们能够看到使用了大量的假标志。再看看NavRAT,我们没有看到IOC/假Flag这些情形(试图引向对另一个组织)。NavRAT缺乏这些非明显的虚假标志,但我们不认为这些与Group123之外的攻击者相关。
四、总结
对于攻击者来说,韩国一直会是一个有吸引力的目标。该地区具有地缘政治利益,这种利益源于保密的朝鲜与更开放的韩国之间存在的隔离。在本次行动中,攻击者使用经典的HWP文档来下载并执行之前未知的恶意软件:NavRAT。作者使用真实事件来伪造诱饵文件。它选择了美国和朝鲜首脑会议来吸引目标打开它。这个方法接近我们在过去18个月左右观察和写下的Group123攻击所使用的技术shellcode有相似之处,最终的有效载荷恶意shellcode位于托管在受损网站上的图像中,作者使用开放式平台作为C2服务器。在这种情况下,NavRAT使用电子邮件提供商Naver,而ROKRAT以前使用云提供商,然而受害者和目标地区是相同的。这些元素虽然不能直接证明NavRAT和ROKRAT之间的关联,但是,我们仍然以中等置信度表示NavRAT与Group123有关联。从攻击者的角度出发,使用知名的本地云/电子邮件的提供商是非常明智的。在合法流量中识别恶意流量真的很难。在本案例中,来自很多不同国家/地区尝试访问目标收件箱,电子邮件提供商都锁定了该账户。
IOCS
恶意HWP: e5f191531bc1c674ea74f8885449f4d934d5f1aa7fd3aaa283fe70f9402b9574
NavRAT: 4f06eaed3dd67ce31e7c8258741cf727964bd271c3590ded828ad7ba8d04ee57
Online Payload: hxxp://artndesign2[.]cafe24[.]com:80/skin_board/s_build_cafeblog/exp_include/img.png
2016 NavRAT 样本:
e0257d187be69b9bee0a731437bf050d56d213b50a6fd29dd6664e7969f286ef