在2016年發佈了我們最初的一系列博客文章之後,我們繼續追蹤ScarCruft的威脅要素。ScarCruft使用韓語進行活動,據稱是國家支持的威脅行爲活動團體,通常針對與朝鮮半島有關的組織和公司。從表面上看,這個致命威脅要素稱得上是詭計多端。
我們最近發現了一些關於這個威脅要素的有趣觀察,並決定深入研究ScarCruft最近的活動。這表明參與者仍然非常活躍,並不斷地嘗試精心設計其攻擊工具。基於我們的遙測技術,我們可以重組ScarCruft的雙重感染程序。此外,我們分析了這場運動的受害者,並發現了這場運動與另一個被稱爲DarkHotel的威脅要素的重疊之處。
多級二進制感染
ScarCruft使用常見的惡意軟件傳遞技術,如魚叉式網絡釣魚和策略性Web滲透(SWC)。與Daybreak操作一樣,這個角色威脅要素使用0day漏洞執行復雜的攻擊。然而,對於惡意軟件作者來說,有時使用公共攻擊代碼更快更有效。我們目睹了這個威脅要素在爲下一次攻擊做準備的過程中,對一個已知漏洞進行測試及利用。
爲了部署最終有效負載的植入程序,ScarCruft使用了一個多級二進制感染方案。通常,最初的植入程序是由感染程序創建的。它最顯著的功能之一是繞過Windows UAC(用戶帳戶控制),以執行具有更高權限的下一個有效負載。該惡意軟件使用公共權限升級攻擊代碼CVE-2018-8120或UACME,然後,惡意軟件安裝程序從它的資源創建一個下載程序和一個配置文件並執行它。下載惡意軟件並使用配置文件連接到C2服務器來獲取下一個有效負載。爲了避免網絡級檢測,下載器使用了隱寫技術。下載的有效負載是一個圖像文件,但它包含要解密的附加惡意負載。
01-多級二進制感染
通過上述過程創建的最終有效負載就是衆所周知的後門,也被Cisco Talos稱爲ROKRAT。這個基於雲服務的後門包含許多特性。它的主要功能之一是竊取信息。在執行時,這個惡意軟件創建10個隨機目錄路徑,並將它們用於特定目的。惡意軟件同時創建11個線程:6個線程負責竊取受感染主機的信息,5個線程負責將收集到的數據轉發給4個雲服務(Box、Dropbox、Pcloud和Yandex)。當上傳被盜數據到雲服務時,它使用預定義的目錄路徑,如/english、/video或/scriptout。
02-基於雲計算的後門
同樣的惡意軟件包含功能齊全的後門功能。這些命令從雲服務提供者的/script路徑下載,並將各自的執行結果上傳到/scriptout路徑。它支持以下命令,足以完全控制受感染的主機:
查看文件/進程列表
下載附加代碼並執行
執行Windows命令
更新配置數據,包括雲服務token信息
保存截圖和音頻記錄
ScarCruft組不斷擴展其過濾目標,以便從受感染的主機竊取更多信息,並繼續創建用於額外數據過濾的工具。
在我們的研究中發現他們對移動設備很有興趣。
例如由這個威脅因素創建的稀有惡意軟件——藍牙設備收割機。這個惡意軟件負責竊取藍牙設備信息。它由下載程序獲取,並直接從受感染的主機收集信息。這個惡意軟件使用Windows藍牙api在連接的藍牙設備上查找信息,並保存以下信息。
實例名:設備名
地址:設備地址
分類:設備的分類
連接:設備是否連接(true or false)
認證:設備是否通過認證(true or false)
記憶:設備是否爲記憶設備(true or false)
截至目前,攻擊者似乎在擴大增加從受害者那裏收集到的信息範圍。
03-建立藍牙信息採集器路徑
受害者研究
根據越南和俄羅斯的遙測數據,我們發現這場運動的幾個受害者可能與朝鮮有一些聯繫,這或許可以解釋爲什麼ScarCruft決定密切監視他們。ScarCruft還襲擊了香港和朝鮮的外交機構。因此可以斷定ScarCruft主要針對的是政治和外交目的的情報。
04-這場運動的受害者
與其他威脅要素重疊
我們發現了一名來自俄羅斯的受害者,他過去在朝鮮逗留期間也觸發了惡意軟件檢測。這名受害者訪問朝鮮的經歷使其具有特殊性,並表明它可能擁有關於朝鮮事務的寶貴信息。2018年9月21日,ScarCruft攻擊了這名患者。然而,在ScarCruft感染之前,另一個APT團體也在2018年3月26日針對該受害者,令其主機感染了GreezeBackdoor。
GreezeBackdoor是DarkHotel APT集團的一個工具,我們之前已經寫過。此外,該受害者也在2018年4月3日受到了Konni惡意軟件的攻擊。惡意軟件Konni僞裝成武器化文件中的朝鮮新聞條目來誘導受害者點開瀏覽,該文件的名稱是“爲什麼朝鮮要猛烈抨擊韓國最近與美日的防務對話”。
05-感染時間線
這並不是我們第一次看到ScarCruft 和DarkHotel 兩種威脅要素的重疊。他們都是說韓語的威脅行爲者,有時他們的受害者心理也有重疊。但兩組人似乎都有不同的TTP(戰術、技術和程序),這讓我們相信,其中一組人經常潛伏在另一組人的影子裏。
結論
ScarCruft已經證明自己是一個擁有高超技巧和高活躍度的團隊。它對朝鮮事務有着濃厚的興趣,攻擊那些可能與朝鮮有任何聯繫的商界人士以及全球的外交機構。基於ScarCruft最近的活動,我們堅信這個團隊很可能會繼續進化。
For 企業
面對不斷升級的攻擊,企業如何才能更好應對?依靠裝幾個安全設備和安全軟件就想永葆安全顯然是不現實的,企業需要的是建立動態、綜合的防護體系。
在上面的案例中,APT攻擊團隊經常利用各種已知或未知漏洞來實施危險行動,竊取關鍵信息。因此,漏洞防護對企業安全來說極爲重要。
For 個人
對於個人來說,養成謹慎、安全的上網習慣尤爲重要。例如:
1. 不要打開瀏覽器突然跳出的彈窗廣告以及網頁上的可疑鏈接。
2. 警惕陌生人發送的郵件(一般含有跳轉鏈接)以及好友申請信息。
3. 謹慎使用公共網絡進行賬戶登錄等。
— end —
安全之道,青松知道