Kimsuky 的GoldDragon叢集及其 C2 操作

Kimsuky（也稱為 Thallium、Black Banshee 和 Velvet Chollima）是一個多產且活躍的駭客組織，Kimsuky被認為是由朝鮮政府支援的組織，它與APT37和Lazarus存在一定關聯，其攻擊目標為韓國，但也包括美國、日本、俄羅斯等國家。

Kimsuky攻擊的行業根據國家不同而有所區別，對韓國主要為政府部門、軍隊、智庫機構、教育單位、學術團體、特定記者團隊、人權組織等群體；對美國主要為智庫等設施；而對俄羅斯等東歐國家則主要為軍事和國防等部門。

Kimsuky最早由卡巴斯基實驗室在2013年披露，而美國CERT則認為Kimsuky活動始於2012年。與大多數攻擊組織一樣，該組織也頻繁迭代其工具。2022 年初，卡巴斯基實驗室的研究人員就觀察到該組織正在攻擊韓國的媒體和智囊團。

Kimsuky的GoldDragon叢集感染程式

在其新的攻擊中，攻擊者啟動了感染鏈，傳送了一個包含宏嵌入 Word 檔案的魚叉式網路釣魚電子郵件。在已發現的各種不同 Word 檔案的示例中，每個示例都顯示了與朝鮮半島地緣政治問題相關的不同誘餌內容。

誘餌內容

攻擊者利用 HTML 應用程式檔案格式感染受害者，並偶爾使用韓文誘餌檔案。在最初的感染程序啟動後，一個 Visual Basic 指令碼被髮送給受害者。在此過程中，攻擊者濫用合法的部落格服務來託管具有編碼格式的惡意指令碼。植入的 VBS 檔案能夠報告有關受感染裝置的資訊並下載具有編碼格式的其他有效負載。最後一個階段是一個 Windows 可執行型別的惡意軟體，它能夠從受害者那裡竊取資訊，例如檔案列表、使用者擊鍵和儲存的 Web 瀏覽器登入憑據。

在研究 Kimsuky 的新型感染鏈（被歸類為GoldDragon 叢集）時，研究人員面臨著幾個限制：

1。在多階段感染的分析過程中，獲取下一階段的有效負載並不容易；

2。即使研究人員連線到 C2 伺服器獲取有效負載，也很難獲得相關的響應；

3。要弄清楚每個物件之間的聯絡並不容易。

然而，在跟蹤 Kimsuky 組織頻繁的活動時，研究人員發現了與上述感染鏈相關的伺服器端指令碼。基於這一發現再加上他們的遙測資料，研究人員能夠重建該組織的整個操作方法。Kimsuky 組織配置了多級命令和控制伺服器，以及遍佈全球的各種商業託管服務。可以將整個 C2 操作總結如下：

1。該攻擊者向潛在受害者傳送魚叉式網路釣魚電子郵件以下載其他檔案。

2。如果受害者點選該連結，則會連線到第一階段的 C2 伺服器，並使用電子郵件地址作為引數。

3。第一階段 C2 伺服器驗證傳入的電子郵件地址引數是預期的，如果它在目標列表中，則傳送惡意檔案。第一階段指令碼還將受害者的 IP 地址轉發到下一階段伺服器。

4。開啟獲取的檔案時，它會連線到第二個 C2 伺服器。

5。第二個 C2 伺服器上的相應指令碼檢查從第一階段伺服器轉發的 IP 地址，以檢查它是來自同一受害者的預期請求。使用此 IP 驗證方案，攻擊者可以驗證傳入請求是否來自受害者。

6。最重要的是，攻擊者依賴其他幾個過程來發送下一個有效負載，例如檢查作業系統型別和預定義的使用者代理字串。

C2伺服器結構

用於惡意檔案傳送的 C2 指令碼（download。php）

1。透過分析傳送的惡意檔案的伺服器端指令碼，研究人員弄清楚了該攻擊者如何驗證來自客戶端的請求並最大限度地減少其負載的暴露。該指令碼使用來自受害者的特定引數名稱，因此研究人員懷疑攻擊者透過電子郵件或使用其他型別的有效負載傳送請求向受害者提供下載連結。

它檢查受害者的 who GET 引數，who 引數包含沒有域名的電子郵件地址。

2。如果傳入的請求包含一個預期的電子郵件地址，它將日期、IP地址和使用者代理儲存到［who］_downhistory。txt檔案。

3。如果使用者代理包含 Windows，這意味著受害者是一臺Windows 裝置，則將進入下一步。否則，它會向受害者提供一份良性檔案。

4。接下來，指令碼透過檢查［who］。txt 檔案的存在來檢查來自受害者的連線是否是第一個請求。

5。如果［who］。txt 檔案不存在，則表示該檔案是受害者的第一個請求，因此指令碼將 IP 地址轉發到另一臺伺服器（VBS 伺服器），傳送惡意檔案，將受害者的資訊儲存到［ who］。txt檔案中，包括日期、IP 地址和使用者代理。

請注意，該指令碼會將受害者的 IP 地址傳送到另一臺伺服器，開發者將其命名為“VBS 伺服器”。如果受害者使用適當的電子郵件地址進行連線，並且這是一個初始連線，則 C2 指令碼會使用 /index。php？ip= GET 請求將該 IP 地址轉發到特定伺服器。將適當的受害者 IP 地址傳送到遠端伺服器對於該攻擊者的操作安全來說是一個非常重要的過程。

檢視上述 IP 傳送 GET 請求的相應指令碼（index。php），它是如何工作的。一旦此指令碼在 HTTP 請求的 ip 引數中接收到 IP 地址，它就會從 ip 引數中提取受害者的 IP 地址並將其儲存到 allow。txt 檔案中。否則，它將客戶端資訊儲存到 error。txt 檔案，並將客戶端重定向到mail。google。com。此外，開發者還利用naver。com、kisa。or。kr等各種合法網站和熱門的電子郵件服務進行了重定向。包含適當受害者 IP 地址的 allow。txt 檔案由另一個 C2 指令碼引用，以驗證傳入請求是否有效，從而驗證是否傳送下一階段的有效負載。

此外，研究人員還發現該指令碼正在傳送惡意和良性檔案。攻擊者維護兩個檔案，一個是良性的（un。doc），另一個是惡意的（v。doc），並根據受害者驗證步驟的結果提供適當的檔案。誘餌檔案的內容包括“2022年亞洲領導人會議”的議程、一種形式的酬金申請、一名澳大利亞外交官的簡歷等多種主題，正如我們所看到的，攻擊者使用了受害者可能感興趣的內容，例如近期將要舉行的活動、特定的請求表單和知名人士的簡歷。

誘餌檔案

惡意檔案和傳送下一階段有效負載的方法

傳送給受害者的惡意檔案包含一個用於獲取下一階段有效負載的宏，這個宏有一個簡單的功能，有趣的是，它產生了幾個子 Windows 命令 shell，可能是為了逃避基於行為的分析。最終，宏使用 mshta。exe 程序執行獲取的有效負載，該程序旨在執行 Microsoft HTML 應用程式。以下 scriptlet 是檔案中惡意宏的一部分。它包含一個遠端伺服器地址以獲取下一階段的有效負載。

幸運的是，研究人員從分析中發現了相應的 C2 指令碼（h。php）。此指令碼將傳入流量資訊儲存到 log。txt 檔案中，包括日期、IP 地址、使用者代理和 IP MD5 雜湊的最右邊 20 個字元，內部稱為“TID”（可能是“Target ID”的縮寫）。接下來，它會檢查包含已驗證受害者 IP 地址的 allow。txt 檔案是否存在。僅當客戶端的 IP 地址存在於 allow。txt 中時，才會傳送下一階段的有效負載 h。txt。否則，該指令碼會提供一個簡短的 Visual Basic 指令碼來終止 mshta。exe 程序。

來自 VBS 伺服器的 VBS 指令碼

允許執行惡意Word檔案中的宏會導致受害者獲取並執行 HTML Application （。HTA）有效負載。獲取的 HTA 檔案有兩個主要目標：向 C2 伺服器報告受害者資訊和建立自動執行的計劃任務。Kimsuky 組織傾向於在各種指令碼中大量重用他們的程式碼。例如，Visual Basic宏應用程式、Visual Basic指令碼和HTML應用程式。

傳送的資料包含 ProgramFiles 資料夾路徑、防病毒名稱、最近開啟的檔案列表、使用者名稱、作業系統名稱、作業系統版本、Microsoft Office 版本、。NET 框架版本、桌面資料夾中的檔案列表以及使用者固定的列表工作列專案。當指令碼將收集到的資訊傳送到 C2 伺服器時，它使用 /info。php？ki87ujhy= 格式，這是 Kimsuky 組織用於指紋識別的常用 URL 格式。值得注意的是，它使用了硬編碼的使用者代理，包括故意拼錯的單詞 Chnome。在查看了伺服器端指令碼之後，研究人員明白了他們為什麼使用 Chnome 而不是 Chrome。

除了報告功能之外，獲取的指令碼還會下載了一個額外的有效負載並將其註冊到永續性機制中。此程式碼在其他 Kimsuky 指令碼中也大量使用，並透過 s。php 獲取有效負載，將其儲存到 defs。ini 檔案，將該檔案註冊為Windows排程檔案，在本例中名為“OneDrive Clean”。

在本研究過程中，研究人員發現了一個相應的 C2 指令碼（s。php），用於傳送自動執行的有效負載。傳送的 VBS 有效負載的主要目標是連線到合法部落格，解析後，最後獲得下一階段有效載荷。有趣的是，這個 C2 指令碼會根據受害者的 IP 地址生成一個部落格地址。在計算受害者IP地址的MD5雜湊值後，它將最後20個字元截去，並將其轉換為一個部落格地址。開發者的目的是為每個受害者運營一個專用的虛假部落格，從而減少他們的惡意軟體和基礎設施的暴露。此外，該指令碼會檢查使用者代理是否具有一個不常見的字串 chnome。如上所述，Visual Basic 指令碼使用硬編碼的 chnome 使用者代理名稱連線到此 C2 指令碼，並且該指令碼檢查拼寫錯誤的使用者代理以驗證它是來自真實受害者的預期請求。

根據上面的發現和分析，研究人員列出了攻擊者隱藏其基礎設施並使安全研究人員和自動分析系統更難獲取有效負載的技巧：

來自C2指令碼的技巧

受害者

根據誘餌檔案的內容，研究人員假設此次活動的目標是與政治或外交活動相關的人員或實體。此外，從歷史上看，政治家、外交官、記者、教授一直是 Kimsuky 組織的主要目標。基於來自 C2 指令碼的電子郵件地址名稱，可以進一步鞏固上述假設。C2 指令碼只有部分電子郵件地址，因此研究人員試圖從外交和學術領域推斷完整的電子郵件地址和真正的所有者。

總結

Kimsuky 是朝鮮半島上最多產和最活躍的駭客組織之一，擁有多個叢集，而 GoldDragon 是最常用的叢集之一。研究人員已經看到，Kimsuky 組織不斷改進其惡意軟體感染方案，並採用新技術來阻礙分析。追蹤這個組織的主要困難是很難獲得完整的感染鏈。正如研究人員從這項研究中看到的那樣，攻擊者最近在其命令和控制伺服器中採用了受害者驗證方法。儘管獲取伺服器端物件很困難，但如果研究人員從受害者端分析攻擊者的伺服器和惡意軟體，研究人員可以全面瞭解駭客組織如何操作他們的基礎設施以及他們採用了什麼樣的技術。

參考及來源：https：//securelist。com/kimsukys-golddragon-cluster-and-its-c2-operations/107258/

中文引用：嘶吼專業版

排版：老李