Konni APT IOCs - Part 2

В 2018 году компания Palo Alto обнаружила, что этот класс вредоносных программ связан с APT37 (псевдонимы Reaper, Group123, Scarcruft). NOKKI. В 2019 году южнокорейский поставщик систем безопасности ESTsecurity отдельно сообщил и раскрыл Konni как предполагаемую APT-группу с восточноазиатским происхождением и обнаружил, что группа имеет некоторые связи с Kimsuky.

Konni APT

Недавно Центр анализа угроз Chianxin обнаружил несколько вредоносных LNK-файлов, нацеленных на южнокорейский регион. LNK-файлы запускаются для выпуска файлов-приманок и VBS-скриптов, а один из образцов использует документ-приманку HWP в качестве руководства по выполнению проверки безопасности электронной почты.

Основываясь на размере LNK-файла и характеристиках исполняемого кода, мы сначала подумали, что образцы исходят от APT37, но после дальнейшего анализа последующего поведения выпущенных VBS-скриптов и характеристик C2-коммуникации мы обнаружили, что вредоносные образцы более тесно связаны с группой Konni, что также указывает на то, что группа Konni недавно начала корректировать тактику атак с использованием файлов типа LNK. Стоит также отметить, что Konni, APT37 и Kimsuky, три APT-организации, которые, как считается, связаны между собой, имеют некоторые схожие характеристики в используемых ими файлах класса LNK.

LNK вызывает cmd.exe, выбирает символы из строки с именем K и вставляет "powershell -windowstyle hidden".

Выполненный код powershell складывается, как показано ниже, освобождая документ-обманку и VBS из LNK и удаляя сам файл LNK.

Документ-обманка называется "[붙임]-상용메일 보안점검 방법(네이버-다음-G메일).hwp", что означает "[вложение] - Как проверить безопасность деловой почты (Naver-Daum-Gmail) ". Путь к VBS-скрипту - " C:\Users\Public\Libraries\vc98ee3f0.vbs".

VBS-скрипт восстанавливает скрытые строки по байтовому несходству.

Основная функция скрипта - получить с C&C-сервера через GET-запрос и выполнить его.

Запрашиваемый URL - hxxps://shaira1885.com/wp-admin/includes/class-wp-release-data.php?class=. Домен shaira1885[.] com соответствует веб-сайту, который, вероятно, был взломан злоумышленником и затем использовался для размещения C&C-сервера.

Последующая полезная нагрузка запроса также представляет собой VBS-скрипт, ключевые строки которого скрыты аналогичным образом.

Последующий скрипт из первого запроса к C&C URL используется для создания постоянства, а следующая команда выполняется, чтобы сделать vc98ee3f0.vbs повторяемым, так что последующая полезная нагрузка может быть загружена с C&C-сервера и выполняться снова и снова.

schtasks /create /sc minute /mo 10 /tn "WeChatVersionAutoUpdate" /tr "C:\Users\Public\Libraries\vc98ee3f0.vbs" /f

1	schtasks /create /sc minute /mo 10 /tn "WeChatVersionAutoUpdate" /tr "C:\Users\Public\Libraries\vc98ee3f0.vbs" /f

Последующий скрипт, полученный с C&C URL при втором запуске vc98ee3f0.vbs, отвечает за сбор информации и выполняет следующие команды.

dir C:\\Users\\&lt;user&gt;\downloads\\ /s /a /od  &gt; usrdown
dir C:\\Users\\&lt;user&gt;\\documents\\ /s /a  /od &gt; usrdocu
dir C:\\Users\\&lt;user&gt;\\desktop\\ /s /a /od  &gt; usrdesk
dir "C:\\Program Files\\" &gt; program
dir "C:\\Program Files (x86)\\" &gt;  program32
nslookup myip.opendns.com resolver1.opendns.com  &gt; ipdetail
tasklist &gt; tsklist
systeminfo &gt; systemI
schinfos /query /fo csv &gt; schinfo
reg query  "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" /s &gt;  reInfo

dir C:\\Users\\<user>\downloads\\ /s /a /od > usrdown

dir C:\\Users\\<user>\\documents\\ /s /a /od > usrdocu

dir C:\\Users\\<user>\\desktop\\ /s /a /od > usrdesk

dir "C:\\Program Files\\" > program

dir "C:\\Program Files (x86)\\" > program32

nslookup myip.opendns.com resolver1.opendns.com > ipdetail

tasklist > tsklist

systeminfo > systemI

schinfos /query /fo csv > schinfo

reg query "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" /s > reInfo

Собранная информация включает в себя: информацию о файлах директории загрузки, директории документов, рабочего стола пользователя; информацию о файлах директорий Program Files и Program Files (x86); информацию о публичном IP-адресе; информацию о списке процессов; информацию о системе; информацию о значении ключа Run реестра.

Затем данные файла с вышеуказанной информацией отправляются обратно на C&C-сервер с помощью POST-запроса. Возвращаемый URL-адрес - hxxps://shaira1885.com/wp-admin/includes/class-wp-release-data.php. POST-запрос содержит следующий формат данных, после возвращения которых соответствующий файл удаляется.

alias=<имя_компьютера>&name=<имя_файла>&data=<данные_файла>

Indicators of Compromise

Domains

bgfile.com
cldservice.net
downwarding.com
file.drives001.com
serviceset.net
ttzcloud.com

URLs

http://cldservice.net/list.php?f=.txt
http://cldservice.net/upload.php
http://serviceset.net/list.php?f=.txt
http://serviceset.net/upload.php
http://ttzcloud.com/list.php?f=.txt
http://ttzcloud.com/upload.php
https://bgfile.com/v2/read/get.php?vw=ln3&nv=xu6502&r=
https://downwarding.com/v2/read/get.php?vw=ln3&nv=xu6502&r=
https://file.drives001.com/read/get.php?ra=ln3&zw=xu6502&r=
https://messengerin.com/layout/images/profile.php?color_style=
https://shaira1885.com/wp-admin/includes/class-wp-release-data.php?class=

MD5

015ba89bce15c66baebc5fd94d03d19e
41c17b6b527540d49db81976ef5576e9
6452b948928f2d799fd9b5d7aa721d10
6f5e4b45ca0d8c1128d27a15421eea38
d2ed41719424bb024535afa1b2d17f3a