Kimsuky APT IOCs - Part 20

security IOC
Опубликовано

Известная тем, что ее поддерживает Северная Корея, группа угроз Kimsuky действует с 2013 года. Сначала они атаковали связанные с Северной Кореей исследовательские институты в Южной Корее, а в 2014 году совершили нападение на южнокорейскую энергетическую корпорацию. С 2017 года были отмечены атаки, направленные не только на Южную Корею, но и на другие страны. Группа обычно проводит фишинговые атаки против национальной обороны, оборонной промышленности, СМИ, дипломатии, национальных организаций и академических секторов. Их целью является кража внутренней информации и технологий организаций.

Kimsuky APT

Хотя группа Kimsuky обычно использует фишинговые атаки для получения первоначального доступа, большинство ее последних атак связано с использованием вредоносных программ типа "ярлык" в формате LNK. Хотя вредоносные программы LNK составляют большую часть последних атак, продолжают обнаруживаться случаи использования JavaScript-файлов или вредоносных документов.

Такие атаки с использованием вредоносных программ на JavaScript обычно связаны с распространением AppleSeed. Помимо JavaScript, для установки AppleSeed также используются макросы Excel.

Примечательным моментом в атаках с использованием AppleSeed является то, что подобные методы атак используются уже много лет без существенных изменений в используемых вредоносных программах. Еще одним интересным моментом является то, что группа по-прежнему использует те же файлы вредоносных программ Infostealer и RDP Patch, которые были впервые обнаружены в 2022 году и которые используются после того, как группа получает контроль над зараженной системой.

AppleSeed

AppleSeed - это бэкдор, который может получать команды агента угрозы с C&C-сервера и выполнять полученные команды. С помощью AppleSeed агент угрозы может контролировать зараженную систему. Он также предлагает такие функции, как загрузчик, который устанавливает дополнительное вредоносное ПО, кейлоггинг и создание скриншотов, а также кражу информации путем сбора и отправки файлов из системы пользователя.

Как и в прошлых случаях, AppleSeed часто распространяется через JavaScript-дроппер. JavaScript-дроппер отвечает за установку AppleSeed, одновременно создавая и открывая файлы документов, таких как HWP и PDF. Таким образом, обычные пользователи обманываются, думая, что был открыт легитимный файл документа.

Хотя установленный AppleSeed похож на тот, что был в прошлом, с начала 2022 года AppleSeed создается дроппером, а не устанавливается вредоносным ПО на JavaScript. В процесс установки был добавлен не только дроппер, но и функция, проверяющая аргументы при выполнении вредоносной программы. AppleSeed, имеющий формат DLL, устанавливается через процесс Regsvr32, в ходе которого используется опция "/i" для передачи аргумента. AppleSeed проверяет этот аргумент и продолжает установку только в том случае, если он соответствует определенной строке, в противном случае он удаляет себя. Поэтому сама по себе DLL AppleSeed не может выполнять вредоносные действия в среде "песочницы".

Аргумент выполнения AppleSeed - пример:

regsvr32.exe /s /n /i:1qa2ws4rf "C:\Users\{UserName}\AppData\Roaming\FoxitReader\Service\FoxitReaderUpdate.db"

AppleSeed устанавливается по пути "%APPDATA%" или "%PROGRAMDATA%". Конкретная папка и имя файла маскируются под легитимные программы или файлы, такие как Antivirus, Chrome и Adobe. Если раньше AppleSeed часто устанавливался по пути "%PROGRAMDATA%", то в последнее время часто используется путь "%APPDATA%". Ниже приведена таблица с описанием различных путей, по которым устанавливался AppleSeed. Пути, использовавшиеся в атаках за последние несколько месяцев, были отсортированы отдельно.

AlphaSeed

AlphaSeed - это вредоносная программа, разработанная на языке Golang и поддерживающая схожие с AppleSeed функции, такие как выполнение команд и похищение информации. Из-за этого сходства и названия пути, содержащегося в бинарном файле, S2W назвала эту вредоносную программу AlphaSeed.

Хотя большинство его функций схожи с AppleSeed, есть и некоторые отличия. AlphaSeed был разработан на языке Golang и использует ChromeDP для связи с C&C-сервером. При получении команд от злоумышленника или краже собранной информации AppleSeed обычно использовал протокол HTTP или электронную почту (SMTP и IMAPS). AlphaSeed также использует почтовые протоколы для связи с C&C, но вместо прямой отправки электронного письма он использует инструмент под названием ChromeDP. Процесс входа в систему также отличается: вместо идентификатора и пароля для входа в определенные учетные записи используются значения cookie.

AlphaSeed используется в атаках как минимум с октября 2022 года, если не раньше. Как и в случае с AppleSeed, в атаках AlphaSeed используется JavaScript-дроппер. Поскольку сам бинарный файл имеет формат DLL и запускается с помощью процесса Regsvr32, процесс установки также похож на AppleSeed.

Иногда угрожающий агент устанавливает AlphaSeed и AppleSeed вместе в одну и ту же целевую систему. Хотя первоначальный этап распространения в данном случае не был определен, из того факта, что AlphaSeed и AppleSeed были установлены практически в один и тот же момент времени и что использовался файл certutil.exe, следует, что, как и в большинстве случаев, обе вредоносные программы были установлены с помощью JavaScript-дроппера.

Meterpreter

Metasploit - это фреймворк для тестирования на проникновение. Это инструменты, которые можно использовать для проверки уязвимостей в безопасности сетей и систем компаний и организаций, предоставляя различные возможности для каждого этапа тестирования на проникновение. Meterpreter - это бэкдор, предоставляемый Metasploit и используемый для управления зараженными системами.

Группа Kimsuky часто использовала Meterpreter в атаках на AppleSeed.В первой половине 2023 года был обнаружен Meterpreter Stager, разработанный на Golang. Однако недавно распространенная версия Meterpreter была разработана самостоятельно с использованием C++ вместо Golang.

VNC - TightVNC, HVNC (TinyNuke).

Помимо использования RDP, группа Kimsuky также разрабатывает вредоносные программы VNC для управления зараженной системой. [9] Существует два типа, которые использовались с момента первоначального обнаружения: TightVNC и HVNC.

TightVNC - это VNC-утилита с открытым исходным кодом, и угрожающий субъект настраивает ее для использования. Группа Kimsuky распространяет TightVNC, которая настроена таким образом, чтобы функция Reverse VNC могла использоваться в зараженной среде самостоятельно, без установки службы. Таким образом, простой запуск tvnserver позволит злоумышленнику получить доступ к tvnviewer, работающему на C&C-сервере, и получить контроль над экраном зараженной системы.

TinyNuke, также известный как Nuclear Bot, - банковская вредоносная программа, обнаруженная в 2016 году. Он включает в себя такие функции, как HVNC (HiddenDesktop/VNC), обратный SOCKS4-прокси и захват форм. Поскольку исходный код TinyNuke был раскрыт в 2017 году, его используют различные злоумышленники, а из его функций HVNC и обратный SOCKS4-прокси частично заимствованы другими вредоносными программами, такими как AveMaria и BitRAT.

Среди различных функций, предлагаемых TinyNuke, группа Kimsuky включает только функцию HVNC перед распространением. TinyNuke использует строку "AVE_MARIA" для проверки при установлении HVNC-сессии между сервером и клиентом. Группа Kimsuky либо использует эту строку без изменений, либо использует вместо нее строку "LIGHT'S BOMB". С первой половины 2022 года используется строка "Alpha's nuke", которая также была обнаружена в недавно выявленных версиях.

Indicators of Compromise

IPv4 Port Combinations

  • 104.168.145.83:993
  • 107.148.71.88:993
  • 159.100.6.137:993
  • 38.110.1.69:993
  • 45.114.129.138:33890
  • 45.114.129.138:5500

URLs

  • http://bitburny.kro.kr/aha/
  • http://bitthum.kro.kr/hu/
  • http://doma2.o-r.kr//
  • http://my.topton.r-e.kr/address/
  • http://nobtwoseb1.n-e.kr//
  • http://octseven1.p-e.kr//
  • http://tehyeran1.r-e.kr//
  • http://update.ahnlaib.kro.kr/aha/
  • http://update.doumi.kro.kr/aha/
  • http://update.onedrive.p-e.kr/aha/
  • http://yes24.r-e.kr/aha/

MD5

  • 02843206001cd952472abf5ae2b981b2
  • 0cce02d2d835a996ad5dfc0406b44b01
  • 153383634ee35b7db6ab59cde68bf526
  • 1f7d2cbfc75d6eb2c4f2b8b7a3eec1bf
  • 232046aff635f1a5d81e415ef64649b7
  • 4511e57ae1eacdf1c2922bf1a94bfb8d
  • 4cb843f2a5b6ed7e806c69e6c25a1025
  • 52ff761212eeaadcd3a95a1f8cce4030
  • 58fafabd6ae8360c9d604cd314a27159
  • 5d3ab2baacf2ad986ed7542eeabf3dab
  • 6a968fd1608bca7255c329a0701dbf58
  • 76831271eb117b77a57869c80bfd6ba6
  • 7a7937f8d4dcb335e96db05b2fb64a1b
  • 8aeacd58d371f57774e63d217b6b6f98
  • ac99b5c1d66b5f0ddb4423c627ca8333
  • ae9593c0c80e55ff49c28e28bf8bc887
  • b5d3e0c3c470d2d41967229e17259c87
  • b6ab96dc4778c6704b6def5db448a020
  • b6f17d59f38aba69d6da55ce36406729
  • c560d3371a16ef17dd79412f6ea99d3a
  • cacf04cd560b70eaaf0e75f3da9a5e8f
  • cafc26b215550521a12b38de38fa802b
  • d4ad31f316dc4ca0e7170109174827cf
  • d94c6323c3f77965451c0b7ebeb32e13
  • db5fc5cf50f8c1e19141eb238e57658c
  • e34669d56a13d607da1f76618eb4b27e
  • e582bd909800e87952eb1f206a279e47
  • ee76638004c68cfc34ff1fea2a7565a7
  • f3a55d49562e41c7d339fb52457513ba

Похожие записи:

  1. Kimsuky APT IOCs - Part 8
  2. Kimsuky APT IOCs
  3. Kimsuky APT IOCs - Part 3
  4. Kimsuky APT IOCs - Part 4
  5. Kimsuky APT IOCs - Part 7
AlphaSeed AppleSeed APT ASEC Backdoor Kimsuky Meterpreter TightVNC TinyNuke
Добавить комментарий