一、总结

自2016年以来，思科Talos一直在跟踪一个对韩国和日本进行网络攻击的高级威胁组织。这个组织有几个不同的名字：Tick，Redbaldknight和Bronze Butler。尽管每个攻击行动都使用了自定义工具，但Talos观察到攻击者使用了重复的基础设施，从被劫持的命令和控制（C2）域名的重叠到解析为同一IP的不同攻击行动的C2。这些基础架构模式表明Datper，xxmm后门和Emdivi恶意软件系列之间存在相似之处。在这篇文章中，我们将深入探讨这些相似之处，并研究攻击者使用的方法。

二、简介

被称为“Tick”，“Bronze Butler”和“Redbaldknight”的APT威胁行为者自2016年起开展了针对日本和韩国等东亚国家的间谍活动。Talos分析了最近的一起行动，其中位于韩国和日本的受感染网站被用作属于Datper恶意软件系列样本的C2服务器，Datper能够在受害计算机上执行shell命令并获取主机名和驱动器信息。Talos在恶意软件系列Datper，xxmm后门和Emdivi之间的共享基础架构中发现了潜在的链接，每个恶意软件系列都归于上述三个别名之一的威胁行为者。我们通过VirusTotal获得了Datper变体，这个用Delphi代码编写的样本是在2018年7月底提交的。尽管确切的攻击媒介不清楚，威胁行为者选择了一个合法但易受攻击的韩国洗衣服务网站来托管他们的C2，如下所示。

合法的韩国洗衣店用作Datper C2主机

该网站位于whitepia [.] co.kr，不使用SSL加密或证书。用于C2通信的特定URL是：hxxp://whitepia[.]co[.]kr/bbs/include/JavaScript.php
一旦执行，Datper变体就会创建一个名为“gyusbaihysezhrj”的互斥对象，并从受害者计算机中获取若干条信息，包括系统信息和键盘布局。之后，该示例尝试向上述C2服务器发出HTTP GET请求，该服务器在撰写本文时解析为IP 111[.]92[.]189[.]19。此请求的一个示例是：

GET /bbs/include/JavaScript.php?ycmt=de4fd712fa7e104f1apvdogtw HTTP/1.1
Accept: */*
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko
Host: whitepia[.]co.kr
Cache-Control: no-cache

不幸的是，在本次调查时，C2服务器不可用，这就阻止了Talos更进一步详细的调查C2。但是，Talos能够分析之前一项始于2017年的行动，它采用了该家族的类似样本，并使用了略有不同的互斥体“d4fy3ykdk2ddssr”。下图中与2017年活动相关联的所有示例都使用了互斥对象“d4fy3ykdk2ddssr”，阻止执行期间其他进程的访问。

2017年行动的C2通信结构

该行动背后的攻击者主要在韩国和日本部署和管理他们的C2基础设施。我们确认，该攻击者定期更改其C2基础设施，并且有识别和渗透位于这些国家/地区的易受攻击网站的历史。除了whitepia [.] co [.] kr，我们还确定了其他用作C2服务器的受感染网站实例。恶意软件样本是使用基于Web的攻击传递的，例如偷渡式下载或水坑攻击。此外，Talos还确定了用作C2服务器的主机，这些主机可能未连接到受感染的网站。这表明威胁行为者可能最初在合法获得（可能购买）的主机上部署了他们的C2服务器基础设施。用作C2域名的受感染网站的重叠关联到另一个恶意软件系列，称为“xxmm后门”（或者“Murim”或“Wrim”），这是一个允许攻击者安装其他恶意软件的恶意软件系列。xxmm后门和Datper的GET请求URI路径类似，如下所示：

xxmm backdoor: hxxp://www.amamihanahana.com/diary/archives/a_/2/index.php
Datper: hxxp://www.amamihanahana.com/contact/contact_php/jcode/set.html

根据上述调查结果，自2016年以来，这两种工具都在其C2基础设施中使用了位于日本的相同网站。上图中右侧显示的xxmm示例的哈希为397a5e9dc469ff316c2942ba4b503ff9784f2e84e37ce5d234a87762e0077e25。
从样本中提取的PDB调试符号路径：
· C:\Users\123\Documents\Visual Studio 2010\Projects\shadowWalker\Release\BypassUacDll.pdb
· C:\Users\123\Documents\Visual Studio 2010\Projects\shadowWalker\Release\loadSetup.pdb
· C:\Users\123\documents\visual studio 2010\Projects\xxmm2\Release\test2.pdb
· C:\Users\123\Desktop\xxmm3\x64\Release\ReflectivLoader.pdb
除了Datper和xxmm后门之间的关联外，最近在2018年3月编译的Datper变体使用合法网站作为C2，它解析为IP 211[.]13[.]196[.]164。这个相同的IP被Emdivi恶意软件系列（一种在受感染机器上打开后门的木马）用作C2基础设施，归于该行动背后的威胁行为者“Blue termite”。

2018年Datper和Emdivi行动的架构

对Datper和Emdivi所使用的域名资源记录（RR）的被动DNS查找进一步表明，这两个恶意软件系列都使用了此IP。

Datper的资源记录

Emdivi的资源记录

三、总结

Talos对该行为者进行的攻击的调查显示了Datper，xxmm后门和Emdivi恶意软件系列之间存在共性。具体而言，这些相似之处在于利用这些恶意软件系列进行攻击的C2基础结构。在这些攻击中使用的一些C2域名解析为被劫持的、合法的韩国和日本主机，也可能已被攻击者购买。利用这些恶意软件系列的成功攻击导致在受害计算机上运行shell命令，从而导致敏感信息的潜在泄漏。思科安全产品以多种方式保护我们的客户。

IOCs:

Hashes

Datper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 backdoor
397a5e9dc469ff316c2942ba4b503ff9784f2e84e37ce5d234a87762e0077e25
Emdivi
9b8c1830a3b278c2eccb536b5abd39d4033badca2138721d420ab41bb60d8fd2
1df4678d7210a339acf5eb786b4f7f1b31c079365bb99ab8028018fa0e849f2e
用于C&C通信的IP
202[.]218[.]32[.]135
202[.]191[.]118[.]191
110[.]45[.]203[.]133
61[.]106[.]60[.]47
52[.]84[.]186[.]239
111[.]92[.]189[.]19
211[.]13[.]196[.]164
C&C服务器
hxxp://www.oonumaboat[.]com/cx/index.php
hxxp://www.houeikai[.]or.jp/images/ko-ho.gif
hxxp://www.amamihanahana[.]com/contact/contact_php/jcode/set.html
hxxp://www.amamihanahana[.]com/diary/archives/a_/2/index.php
hxxp://rbb.gol-unkai4[.]com/common/include/index-visual/index.htm
hxxp://www.whitepia[.]co.kr/bbs/include/JavaScript.php
hxxp://www.adc-home[.]com/28732.html
hxxp://www.sakuranorei[.]com.com/blog/index.php