###### 腾讯安全 # 警惕来自节假日的祝福我 ## ——APT 攻击组织“黑格莎(Higaisa)” 攻击活动披露 #### 腾讯安全御见威胁情报中心 2019.11 ----- TLP:WHITE ### 目录 **一、概述................................................................................................................................................. 2** **二、攻击技术细节................................................................................................................................. 4** 2.1 投递................................................................................................................................................ 4 2.2 诱饵分析........................................................................................................................................ 5 2.3 DOWNLOADER 分析........................................................................................................................11 2.4 AVP.EXE 分析.................................................................................................................................. 15 2.5 AVPIF.EXE 分析................................................................................................................................19 **三、关联分析....................................................................................................................................... 20** 3.1 初始攻击...................................................................................................................................... 20 3.2 攻击诱饵...................................................................................................................................... 22 3.3 解密密码...................................................................................................................................... 43 3.4 其他文件分析.............................................................................................................................. 43 3.5 移动端木马分析.......................................................................................................................... 56 3.6 攻击归属分析.............................................................................................................................. 59 **四、总结............................................................................................................................................... 62** **五、安全建议....................................................................................................................................... 62** **六、附录............................................................................................................................................... 64** 6.1 关于腾讯安全御见威胁情报中心.............................................................................................. 64 6.2 IOCS.............................................................................................................................................. 65 6.3 MITRE ATT&CK............................................................................................................................ 70 6.4 参考文章...................................................................................................................................... 72 腾讯安全御见威胁情报中心 **1 / 73** ----- TLP:WHITE ### 一、 概述 腾讯安全御见威胁情报中心曾经在2019 年年初捕获到一次有意思的攻击活动,该攻击 活动一直持续到现在。根据对该组织活动中所使用的攻击技术、被攻击人员背景等分析研判, 我们认为该攻击组织为来自朝鲜半岛的一个具有政府背景的APT 攻击组织。 根据腾讯安全御见威胁情报中心的大数据分析发现,该组织的攻击活动至少可以追溯到 2016 年,而一直持续活跃到现在。该组织常利用节假日、朝鲜国庆等朝鲜重要时间节点来 进行钓鱼活动,诱饵内容包括新年祝福、元宵祝福、朝鲜国庆祝福,以及重要新闻、海外人 员联系录等等。此外,该攻击组织还具有移动端的攻击能力。被攻击的对象还包括跟朝鲜相 关的外交实体(如驻各地大使馆官员)、政府官员、人权组织、朝鲜海外居民、贸易往来人 员等。目前监测到的受害国家包括中国、朝鲜、日本、尼泊尔、新加坡、俄罗斯、波兰、瑞 士等。 对于该组织的归属,腾讯安全分析了大量样本,我们确信其来自于朝鲜半岛。对攻击背 景分析后,我们认为该组织为来自韩国的一个攻击组织。从样本的技术细节、基础设施等经 过详细分析后,我们尚无证据证明该组织跟韩国的另一攻击组织DarkHotel(黑店)有关 联,即便是攻击对象、某些攻击手法跟DarkHotel(黑店)有一些类似。因此我们决定把 该组织列为来自韩国的又一独立的攻击组织,取名为"黑格莎"(源于作者喜欢使用的RC4 的解密密钥为Higaisakora,取Higaisa 的英译),目前尚不排除该组织为DarkHotel 的 某一分支。由于受限于样本、受控机、基础设施等等客观情况,可能在组织归属上存在一些 细节的误判和遗漏,我们希望安全社区同仁来共同完善该组织的一些细节。 “黑格莎”组织攻击流程图: 腾讯安全御见威胁情报中心 **2 / 73** ----- TLP:WHITE 图1:攻击流程示意图 值得注意的是,我们曾在腾讯安全2019 年上半年APT 总结报告中有提及该组织的攻 击活动,当时我们错误的把该组织归属到了Group123。因此也借本文对该错误归属进行勘 腾讯安全御见威胁情报中心 **3 / 73** ----- TLP:WHITE 误和致歉,同时本文也对该活动进行更为详细的活动披露。若存在错误,望安全同仁一起来 指正。 ### 二、 攻击技术细节 ##### 2.1 投递 最初始的攻击,从邮件钓鱼开始,邮件内容如下: 图2:用于攻击的钓鱼邮件 邮件内容为韩语的元旦祝福: 腾讯安全御见威胁情报中心 **4 / 73** ----- TLP:WHITE 图3:邮件内容翻译 而从后面的分析可知,在节假日发祝福邮件投递恶意文件,是该组织的惯用伎俩。 ##### 2.2 诱饵分析 邮件的附件为一个压缩包: 图4:诱饵 解压后附带一个可执行文件: 图5:诱饵解压后内容 该可执行文件其实为一个dropper(7c94a0e412cc46db5904080980d993c3)木马。 腾讯安全御见威胁情报中心 **5 / 73** ----- TLP:WHITE 1、payload 及伪装文件存放在PE 资源中: 图6:资源文件内容 2、字符串以局部数组的形式存储,绝大部分API 函数使用动态调用: 腾讯安全御见威胁情报中心 **6 / 73** ----- TLP:WHITE 图7:存储字符串代码细节 3、从BITVIEW 资源中释放两伪装文件happyCar.jpg 和Car.docx 并打开,伪装文件未加 密无需解密: 图8:存储在资源中的伪装文件 腾讯安全御见威胁情报中心 **7 / 73** ----- TLP:WHITE 图9:释放伪装文件的代码细节 诱饵打开后如图(居然有中文……): 图10:诱饵图1 腾讯安全御见威胁情报中心 **8 / 73** ----- TLP:WHITE 图11:诱饵图2 4、随后从EXBIN 资源中释放carsrvdx.sed 到系统目录并通过设置注册表创建服务使得该 dll 以系统服务的方式开机自启动实现持久化: 腾讯安全御见威胁情报中心 **9 / 73** ----- TLP:WHITE 图12:注册服务代码细节 该资源加密存储在资源中,释放的过程涉及简单的RC4 解密,密钥为ssove0117: 腾讯安全御见威胁情报中心 **10 / 73** ----- TLP:WHITE ##### 2.3 Downloader 分析 图13:RC4 解密密钥代码 释放的payload 文件carsrvdx.sed 实际为一个downloader: 首先会构造url,从http://info.hangro.net/file/start?session=[8 位随机数字]&imsi=0 获取要下载的文件名: 腾讯安全御见威胁情报中心 **11 / 73** ----- TLP:WHITE 图14:构造获取文件url 代码 C2 信息直接硬编码存储在局部数组中,为info.hangro.net: 腾讯安全御见威胁情报中心 **12 / 73** ----- TLP:WHITE 图15:存储C2 信息代码 URL 参数信息session=[8 位随机数字]&imsi=0: 图16:URL 的参数信息 腾讯安全御见威胁情报中心 **13 / 73** ----- TLP:WHITE 图17:C2 返回的数据(文件名) 得到文件名avp.exe、avpif.exe 后再构造以下URL 进行下载后再构造以下URL 进行下载: http://info.hangro.net/file/start?session=[8 位随机数字]&imsi=avp.exe http://info.hangro.net/file/start?session=[8 位随机数字]&imsi=avpif.exe 图18:拼接文件后的下载请求 下载回来的文件同样需要经过简单的RC4 解密,密钥为Higaisakora.0: 腾讯安全御见威胁情报中心 **14 / 73** ----- TLP:WHITE 图19:解密文件的RC4 密钥信息 最后使用CreateProcessA 执行下载回来的文件: 图20:执行下载后文件的代码细节 ##### 2.4 avp.exe 分析 下载回来的文件avp.exe(fca3260cff04a9c89e6e5d23a318992c)是一个远程控制木马, 经过分析,发现该木马是基于gh0st 开源远控框架修改而来,除了命令分发和数据包压缩 腾讯安全御见威胁情报中心 **15 / 73** ----- TLP:WHITE 算法弃用原来的之外,其他内容未发现重大改动,基本保留的原来的框架,如buffer 类。 其中C2 为console.hangro.net:1449。 C2 同样使用局部数组的方式硬编码在代码中: 图21:硬编码的C2 信息 和gh0st RAT 同样的代码结构: 腾讯安全御见威胁情报中心 **16 / 73** ----- TLP:WHITE 图22:代码结构跟gh0st 一致 而命令分发部分改动较大,删除了绝大部分的命令处理函数,只保留了插件管理功能,木马 的所有功能都将通过插件完成: 图23:命令分发代码细节 两个插件管理功能的区别是一个会调用插件的PluginMe 接口,另一个则是调用 PluginMeEx 接口。插件被下载成功后直接在内存中展开调用执行。 腾讯安全御见威胁情报中心 **17 / 73** ----- TLP:WHITE 图24:两个插件管理功能代码 成功下载了回来的插件为FileManager.dll(dd99d917eb17ddca2fb4460ecf6304b6,注: 内存加载不落地),该插件功能为文件管理插件,其命令分发与gh0st 源码相似性达90% 以上: 图25:文件管理插件与gh0st RAT 文件管理源码比较 腾讯安全御见威胁情报中心 **18 / 73** ----- TLP:WHITE ##### 2.5 avpif.exe 分析 下载回来的另外一个文件为avpif.exe (77100e638dd8ef8db4b3370d066984a9),该 文件的功能主要是收集系统信息,并回传到C2 中。 收集的信息包括:  系统信息:计算机硬件、系统版本、用户信息、系统补丁、网卡信息等 ######  网络信息:本地网络信息  进程列表  显示域、计算机、等共享资源的列表  C 盘文件列表  D 盘文件列表  E 盘文件列表 收集信息执行的命令,命令代码以加密字符串形式硬编码,解密后执行: 图26:执行收集命令代码 收集完成后加密上传到服务器中,上传url 为 http://180.150.227.24/do/index.php?id=ssss: 腾讯安全御见威胁情报中心 **19 / 73** ----- TLP:WHITE ### 三、 关联分析 图27:上传至C2 相关代码 通过腾讯安全御见威胁情报中心的大数据分析和挖掘,我们发现大量跟该攻击相关的样本。 我们对该组织的攻击活动进行梳理,使我们对该组织的攻击活动有更深入的了解。 ##### 3.1 初始攻击 通过监测发现,攻击活动均为使用鱼叉邮件攻击的方式。而攻击的时间窗口基本都在重要节 假日。通过发送节日祝福,附带恶意文件的方式进行攻击。 我们根据payload 解密的密码" Higaisakora.0"进行搜索,搜索到了另一篇分析文章: [https://malware.prevenity.com/2018/03/happy-new-year-wishes-from-china.html](https://malware.prevenity.com/2018/03/happy-new-year-wishes-from-china.html) 虽然无法获取该报告中的样本,但根据报告中的截图和描述,可以确定为同一木马的不同变 种。而根据该文章的披露,攻击方式同样为通过在节假日发送祝福邮件,并附带恶意文件的 方式: 腾讯安全御见威胁情报中心 **20 / 73** ----- TLP:WHITE 图28:钓鱼邮件(引用自malware@prevenity 博客) 图29:诱饵显示内容(引用自malware@prevenity 博客) 此外,有意思的是,我们发现该邮件的发送邮箱为gov.cn 的邮箱,我们猜测攻击者可能首 先攻破了某gov.cn 的邮箱,然后利用该邮箱继续进行钓鱼工作。同样我们发现发件人邮箱 同样存在china 字眼,因此我们猜测,该组织习惯利用跟中国有关的邮箱做为跳板来进行下 一步的攻击。 腾讯安全御见威胁情报中心 **21 / 73** ----- TLP:WHITE ##### 3.2 攻击诱饵 诱饵的类型根据文件种类分为两类,一类为可执行文件,另一类为恶意文档类。 ##### 3.2.1 可执行文件类诱饵 可执行文件类又分为两个类型:  类型一:伪装为图像文件或文档文件,运行后会释放相关的图片或文档 该类型的可执行文件的图标一般要么伪装成word、excel、pdf、txt、邮件等软件的图 标,要么直接是图片的内容图标: 图30:诱饵的图标 腾讯安全御见威胁情报中心 **22 / 73** ----- TLP:WHITE 内容主要分为: 1)传统节假日问候,如新年、元宵节、端午节、圣诞节等: 图31:节假日问候的诱饵图片 2)朝鲜国庆、领导人纪念日等相关: 图32:朝鲜国庆、纪念日等的诱饵图片 3)新闻: 腾讯安全御见威胁情报中心 **23 / 73** ----- TLP:WHITE 图33:新闻类的诱饵图片 图34:新闻类的诱饵图片2 4)其他(包括色情图片或文本): 腾讯安全御见威胁情报中心 **24 / 73** ----- TLP:WHITE 图35:其他类的诱饵图片 所有该类型的诱饵的技术特点为: a) 将payload 及伪装文件存放在PE 资源中; b) 伪装文件未加密无需解密,payload 需使用RC4 解密后释放; c) 字符串以局部数组的形式存储,绝大部分API 函数使用动态调用; d) 释放payload 后,创建系统服务将其加载执行; 此外,我们发现这些诱饵内容都非常的及时,如某一诱饵为一个新闻,讲的是牡丹峰团 长玄松月在平昌冬奥会前访问韩国: 腾讯安全御见威胁情报中心 **25 / 73** ----- TLP:WHITE 图36:牡丹峰访问韩国的新闻的诱饵内容 通过搜索,该新闻是2018 年1 月22 日: 腾讯安全御见威胁情报中心 **26 / 73** ----- TLP:WHITE 图37:BBC 报道的牡丹峰访问韩国的新闻 而发现的利用该诱饵攻击的另一攻击样本(fa8c53431746d9ccc550f75f15b14b97), 其编译日期为1 月26 日: 腾讯安全御见威胁情报中心 **27 / 73** ----- TLP:WHITE 图38:攻击诱饵的时间戳信息 可以发现该组织非常擅长利用最新热点新闻。  类型二:伪装成Winrar、Teamview、播放器等常用软件 图39:软件类攻击诱饵的图标 如运行后,除了释放原本的安装文件外,还会释放gh0st 木马: 腾讯安全御见威胁情报中心 **28 / 73** ----- TLP:WHITE 图40:诱饵释放和执行原来的安装文件 释放文件路径:C:\WINDOWS\system32\dilmtxce32.dll 而释放的文件同样需要通过解密,密钥为HXvsEoal_s: 图41:解密用的RC4 密钥 腾讯安全御见威胁情报中心 **29 / 73** ----- TLP:WHITE 后面的gh0st 分析,在这里就不再赘述。 ##### 3.2.2 恶意文档类诱饵 我们发现的另一个攻击母体为(a5a0bc689c1ea4b1c1336c1cde9990a4),其路径为 \AppData\Roaming\Microsoft\Word\STARTUP\winhelp.wll,而该目录为word 的启动 文件夹,当word 启动的时候,会自动加载该目录下的模块文件。因此该手法常做为office 后门加载方式的重要手法。 遗憾的是,我们并未获取到相关的文档文件,因此尚不知该启动文件是执行了某一恶意文档 释放的(因为有很多攻击诱饵会利用漏洞等方式释放相关恶意文件到word 启动目录),还 是其他的母体释放到该目录的。不过我们认为由某一恶意文档通过漏洞释放的可能性更大。 该wll 文件加载后,首先会检测是否存 在%USERPROFILE%\PolicyDefinitions\MMCSnapins.exe 文件: 腾讯安全御见威胁情报中心 **30 / 73** ----- TLP:WHITE 如果不存在则从资源中释放: 图42:检测文件释放存在代码 图43:释放文件代码 随后向启动目录释放lnk 文件,实现重启计算机后启动MMCSnapins.exe: 腾讯安全御见威胁情报中心 **31 / 73** ----- TLP:WHITE 图44:设置自启动代码 释放的MMCSnapins.exe(0e1ed07bae97d8b1cc4dcfe3d56ea3ee),实际也为一个 downloader。文件运行后首先删除winhelp.wll,抹痕迹: 图45:抹痕迹代码 延时三分钟: 腾讯安全御见威胁情报中心 **32 / 73** ----- TLP:WHITE 图46:延时执行代码 创建%temp%\kb345203.dat 文件、创建%USERPROFILE%\DigitalLockers\目录,用于 存放最终下载解密后的木马文件: 图47:创建存放目录代码 访问C2,首先发送HEAD 请求检测网络是否畅通,随后发送GET 请求下载,其中id 为硬 [盘相关序列号。http://180.150.227.24/view/index.php?id=860016C5:](http://180.150.227.24/view/index.php?id=860016C5) 图48:发送HEAD 请求 腾讯安全御见威胁情报中心 **33 / 73** ----- TLP:WHITE 图49:发送GET 请求下载 下载后数据存放在kb345203.dat 文件中: 图50:存放下载文件代码 读取kb345203.dat 文件,并检查有格式: 腾讯安全御见威胁情报中心 **34 / 73** ----- TLP:WHITE 图51:检查文件格式代码 使用RC4 解密数据,解密后得到的PE 文件执行: 腾讯安全御见威胁情报中心 **35 / 73** ----- TLP:WHITE 图52:解密及执行代码 下载回来的木马共有3 个,具体功能如下: 1、%USERPROFILE%\DigitalLockers\wimercs.exe (65f0581d200935d0d1e969d87b6d1e6b),为infostealer 木马,用于窃取文件 目录结构。 执行命令,获取C 盘、D 盘、E 盘的文件目录信息: 图53:获取目录信息代码 获取到的信息使用RC4 加密: 腾讯安全御见威胁情报中心 **36 / 73** ----- TLP:WHITE 图54:加密获取到信息代码 将加密后的文件上传到C2 中。180.150.227.24&/do/index.php?id=ssss: 图55:上传信息代码 腾讯安全御见威胁情报中心 **37 / 73** ----- TLP:WHITE 2、%USERPROFILE%\DigitalLockers\aitagent.exe (46c6e0c51391b07f5f2eafd983d8624e),为gh0st RAT 插件版。 该木马是gh0st 源码修改而来,只保留两个远控命令均为加载插件,插件在内存中直接 加载不落地: 图56:RAT 分发命令代码 腾讯安全御见威胁情报中心 **38 / 73** ----- TLP:WHITE 图57:加载插件代码 腾讯安全御见威胁情报中心 **39 / 73** ----- TLP:WHITE 图58:加载插件代码 3、%USERPROFILE%\DigitalLockers\winecvs.exe (bdfc03e3c33e914c716b4e88b7b62015),为一个功能完整的RAT 木马。 创建名为NetworkEnterprise 的互斥量: 腾讯安全御见威胁情报中心 **40 / 73** ----- TLP:WHITE 配置信息如下: 图59:创建互斥量代码 6080&wiki.xxxx.com&69.172.75.148&Frame&2000&AdobePatch&Software\Micro soft\Windows\CurrentVersion\RunOnce 具体功能如下: 腾讯安全御见威胁情报中心 **41 / 73** ----- TLP:WHITE 图60:RAT 功能代码 腾讯安全御见威胁情报中心 **42 / 73** ----- TLP:WHITE ##### 3.3 解密密码 我们发现该组织非常喜欢使用RC4 加密算法,如解密释放的payload,解密下载回来的文 件等。我们发现他的payload 的解密密码跟随着时间而进行变化,但是downloader 下载 回来的文件解密木马始终都为Higaisakora.0。目前其解密payload 的最新使用的密码为 XsDAe0601。我们整理了一份时间和密码的对应表如下(相同的密码只取了一个): 诱饵hash 编译时间 解密密码 a2054fff1fe1db66264f2f1a36ca19bb 2017-12-28 03:52:32 ILoveVas 342a0a6b527d3c56a1c248155ad3eef3 2018-01-26 09:39:45 ULoveVas 9127b5f9dacd0ca5a753083c50cc1225 2018-08-16 13:23:02 HXvsEoal_s 91b7b9928d20054181caa24f5b9aa839 2018-12-20 00:39:04 ssoveVDV ea296441165b0c7f27f0ecac084df21a 2019-01-17 01:51:12 ssove0117 0def22c282f8e154f290d3e97e774671 2019-04-10 12:13:18 d0sfdmmmku 982a0d301204dadf70428bf007d4258d 2019-04-11 14:18:10 ssove0311 c454d7902ba3959335b0ef8e074b50a2 2026-12-31 13:49:30(被篡改) XsDAe0601 表1:文件、编译时间、密码对照表 可以看到,随着时间的变化,密码也相应的进行了变化。虽然密码上并未有相应的规律可以 获取,但是至少也说明了作者一直在进行更新。 ##### 3.4 其他文件分析 我们还在相关受控机上发现大量其他文件,相信是该组织下发用来进行持续渗透和横向移动 的工具。具体如下: ##### 3.4.1 键盘记录器 文件BioCredProv.exe(6e95c5c01f94ef7154e30b4b23e81b36) 腾讯安全御见威胁情报中心 **43 / 73** |诱饵hash|编译时间|解密密码| |---|---|---| |a2054fff1fe1db66264f2f1a36ca19bb|2017-12-28 03:52:32|ILoveVas| |342a0a6b527d3c56a1c248155ad3eef3|2018-01-26 09:39:45|ULoveVas| |9127b5f9dacd0ca5a753083c50cc1225|2018-08-16 13:23:02|HXvsEoal_s| |91b7b9928d20054181caa24f5b9aa839|2018-12-20 00:39:04|ssoveVDV| |ea296441165b0c7f27f0ecac084df21a|2019-01-17 01:51:12|ssove0117| |0def22c282f8e154f290d3e97e774671|2019-04-10 12:13:18|d0sfdmmmku| |982a0d301204dadf70428bf007d4258d|2019-04-11 14:18:10|ssove0311| |c454d7902ba3959335b0ef8e074b50a2|2026-12-31 13:49:30(被篡改)|XsDAe0601| ----- TLP:WHITE 通过设置键盘钩子记录按键、窗口信息 到%USERPROFILE%\CompatTel\IEUpdateCache.dat: 图61:存储记录信息代码 腾讯安全御见威胁情报中心 **44 / 73** ----- TLP:WHITE 图62:监视代码 腾讯安全御见威胁情报中心 **45 / 73** ----- TLP:WHITE 图63:监视信息 同样为在启动目录释放Accessoriecs.lnk,用于自启动: 图64:设置自启动代码 腾讯安全御见威胁情报中心 **46 / 73** ----- TLP:WHITE ##### 3.4.2 邮件相关 如文件out1 .exe (901e131af1ee9e7fb618fc9f13e460a7),pdb 为: E:\code\PasswordRecover\do_ok\OutlookPassRecover\Release\OutlookPassRecov er.pdb 该文件的功能是outlook 密码窃取,窃取的outlook 账号密码保存到 c:\users\public\result.dat: 图65:保存窃取密码代码 文件out12.exe (08993d75bee06fc44c0396b4e643593c),pdb 路径为: E:\code\PasswordRecover\outlook\OutlookPasswordRecovery-master\OutlookPas swordRecovery\obj\Release\OutlookPasswordRecovery.pdb 该文件的功能同样为窃取outlook 账号密码,窃取的信息保存为Module.log: 腾讯安全御见威胁情报中心 **47 / 73** ----- TLP:WHITE 图66:代码框架 根据pdb 的路径在github 上搜索,发现了该工程: [https://github.com/0Fdemir/OutlookPasswordRecovery](https://github.com/0Fdemir/OutlookPasswordRecovery) 腾讯安全御见威胁情报中心 **48 / 73** ----- TLP:WHITE 图67:github 上的工程信息 腾讯安全御见威胁情报中心 **49 / 73** ----- TLP:WHITE 跟文件里的完全一致: 图68:github 上的工程代码 图69:样本里的代码细节 腾讯安全御见威胁情报中心 **50 / 73** ----- TLP:WHITE ##### 3.4.3 非插件版的Gh0st RAT 之前发现的gh0st RAT 均为插件版的gh0st RAT,也就是说所有功能通过插件来完成,但 是我们在某台受控机上还发现一个非插件版的gh0st RAT,并且通过Installer 解密数据文 件.vnd 后执行。具体分析如下: 安装器的文件路径为:E:\360Rec\sun.exe(cc63f5420e61f2ee2e0d791e13e963f1) 首先创建服务: 图70:创建服务代码 设置服务dll 为C:\Windows\system32\PRT\WinDef32.dll: 腾讯安全御见威胁情报中心 **51 / 73** ----- TLP:WHITE 图71:设置服务启动路径代码 读取同目录下同名.vnd 文件,XOR 0x2e 解密后写入到WinDef32.dll,并设置文件时间为 与calc.exe 相同: 图72:读取配置文件代码 启动服务: 腾讯安全御见威胁情报中心 **52 / 73** ----- TLP:WHITE 图73:启动服务代码 最后解密后生成的文件C:\\Windows\\system32\\PRT\\WinDef32.dll (c5f0336b18a1929d7bd17d09777bdc6c)就为非插件版的gh0st: 图74:解密配置信息代码 解密算法,XOR 3解密后的C2 为:www.phpvlan.com:8080: 腾讯安全御见威胁情报中心 **53 / 73** ----- TLP:WHITE 图75:解密C2 代码 主命令分发,只保留了部分gh0st 功能,包括文件管理、屏幕监控、键盘记录、远程Shell 等: 腾讯安全御见威胁情报中心 **54 / 73** ----- TLP:WHITE 图76:主命令分发代码 文件管理功能,保留了gh0st RAT 文件管理的全部指令,并增加了获取和设置文件时间的 功能: 腾讯安全御见威胁情报中心 **55 / 73** ----- TLP:WHITE ##### 3.5 移动端木马分析 图77:文件管理代码 通过拓展分析,我们还发现了几个安卓木马,如검찰청(翻译:监察厅).apk (8d3af3fea7cd5f93823562c1a62e598a): 腾讯安全御见威胁情报中心 **56 / 73** ----- TLP:WHITE 该apk 执行后界面如下: 图78:APK 文件图标 图79、80:启动后界面图 [该APP 伪装韩国检察厅APP,主要为访问网站http://www.spo.go.kr/spo/index.jsp。](http://www.spo.go.kr/spo/index.jsp) 腾讯安全御见威胁情报中心 **57 / 73** ----- TLP:WHITE 实际上该app 为一个远控木马,能够实现手机截屏、GPS 位置信息获取、SMS 短信获取、 通话录音、通讯录获取、下载木马、上传文件等功能: 图81:代码框架 腾讯安全御见威胁情报中心 **58 / 73** ----- TLP:WHITE ##### 3.6 攻击归属分析 图82:通信相关代码 ##### 3.6.1 攻击样本的中的地域分析 我们抽取了部分样本对编译的时间戳进行了分析(不包含被篡改的): 腾讯安全御见威胁情报中心 **59 / 73** ----- TLP:WHITE 图83:样本时间戳分析 可以发现编译的时间主要发生在上午8 点后,大部分时间都在晚上23 点前。按照普通人的 生活习惯,我们认为可能是在东9 区的攻击者。正好覆盖朝鲜半岛。 其次我们发现样本中出现的naver.com 字符: 腾讯安全御见威胁情报中心 **60 / 73** ----- TLP:WHITE 图84:样本中存在的naver 字符 naver 为韩国最大的搜索引擎和门户网站。 ##### 3.6.2 攻击对象分析 因为诱饵内容几乎都跟朝鲜有一定的关系,包括朝鲜的国庆、朝鲜的联系人名单等;从钓鱼 目标对象来看,基本都为朝鲜的外交官、海外居民、和朝有贸易往来人员等等;从受控机属 性来看也几乎都为中朝贸易人员。 因此我们认为攻击的对象为朝鲜相关的人员。 ##### 3.6.3 攻击手法 攻击手法包括钓鱼、伪装常用软件、下载插件等等,并且还具有多平台的攻击能力。 ##### 3.6.4 结论 从上述分析我们认为,攻击者可能来自朝鲜半岛,由于攻击目标为跟朝鲜相关,因此我们判 断攻击者可能来自韩国。其次,从攻击手法、对象来看,跟韩国的另外一个APT 攻击组织 DarkHotel(黑店)比较类似。 腾讯安全御见威胁情报中心 **61 / 73** ----- TLP:WHITE 但是,从样本、基础设施等分析来看,我们并未发现有跟DarkHotel 重叠的部分,也未有 明确证据证明跟DarkHotel 相关。但我们并不排除该组织或为DarkHotel 的分支。鉴于此, 我们决定暂时把该攻击小组列为一个独立的攻击组织,取名为"黑格莎"(源于作者喜欢使用 的RC4 的解密密钥为Higaisakora,取Higaisa 的英译)。归属过程可能因信息有限,或 存在错误,我们希望安全同仁一起来完善该组织的更多信息。 ### 四、 总结 当节假日来临,我们往往会收到来自各地的祝福信息,尤其是单位的邮箱。但是一些别有用 心的攻击者往往利用此机会,附带恶意文件进行攻击。而本次攻击主要是针对朝鲜相关的一 些政治实体、人权组织、商贸等关系单位和人员,因此也有波及中国境内和朝鲜进行贸易的 一些人员。此外,该攻击组织的攻击武器库也一直在进行更新,而且除了pc 端,也具有移 动端攻击的能力。我们判断,该攻击活动必然还会继续进行下去,因此我们提醒相关人员, 一定要提高安全意识,避免遭受不必要的损失。 ### 五、 安全建议 我们建议外贸企业及重要机构参考以下几点加强防御: 1、通过官方渠道或者正规的软件分发渠道下载相关软件; 腾讯安全御见威胁情报中心 **62 / 73** ----- TLP:WHITE 2、谨慎连接公用的WiFi 网络。若必须连接公用WiFi 网络,建议不要进行可能泄露机密信 息或隐私信息的操作,如收发邮件、IM 通信、银行转账等;最好不要在连接公用WiFi 时进行常用软件的升级操作; 3、提升安全意识,不要打开来历不明的邮件的附件;除非文档来源可靠,用途明确,否则 不要轻易启用Office 的宏代码; 4、及时安装操作系统补丁和Office 等重要软件的补丁; 5、使用杀毒软件防御可能得病毒木马攻击,对于企业用户,推荐使用腾讯御点终端安全管 理系统。腾讯御点内置全网漏洞修复和病毒防御功能,可帮助企业用户降低病毒木马入 侵风险; 6、推荐企业用户部署腾讯御界高级威胁检测系统及时捕捉黑客攻击。御界高级威胁检测系 统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出 的独特威胁情报和恶意检测模型系统。 (https://s.tencent.com/product/gjwxjc/index.html) 腾讯安全御见威胁情报中心 **63 / 73** ----- TLP:WHITE ### 六、 附录 ##### 6.1 关于腾讯安全御见威胁情报中心 腾讯安全御见威胁情报中心,是一个涵盖全球多维数据的情报分析、威胁预警分析平台。 依托腾讯安全在海量安全大数据上的优势,通过机器学习、顶尖安全专家团队支撑等方法, 产生包括高级持续性攻击(APT)在内的大量安全威胁情报,帮助安全分析人员快速、准确 对可疑事件进行预警、溯源分析。 腾讯安全御见威胁情报中心公众号自开号以来,发布了大量的威胁分析报告,包括不定 期公开的针对中国大陆目标的APT 攻击报告,无论是分析报告的数量上还是分析报告的质 量上,都处于业界领先水平,受到了大量客户和安全专家的好评,同时发布的情报也经常被 政府机关做为安全预警进行公告。 以下是腾讯安全御见威胁情报中心公众号的二维码,关注请扫描二维码: 腾讯安全御见威胁情报中心 **64 / 73** ----- TLP:WHITE ##### 6.2 IOCs ###### MD5: 02475eba49942558a5e53e7904eb9cb0 059c639c9b4afa59267d2d7e5de9fd68 0796fb3436bb7727cb8d64a2f423f9be 08993d75bee06fc44c0396b4e643593c 0a11b8f93073833464134aa740a8d70f 0def22c282f8e154f290d3e97e774671 0e1ed07bae97d8b1cc4dcfe3d56ea3ee 109d252d24fa3b8b543f01d34b6cbf17 腾讯安全御见威胁情报中心 **65 / 73** ----- TLP:WHITE 11a807c699c8e4cc438f9f20e524f61b 16dcd7e8c9773c8bef6a9eb78a634dd3 1bea784bdc479243dc9370b50c128c3d 1c120e481925c7abd968e20ab18e4785 1e769aa405d41eaeca6b61eb564b9eba 21fcdf439000b6eb03cc9d1ca6c8a76c 26e2a010b4cca084c7c3e9cdf8e05030 2b582e4159e079296f226233877ecd7c 2e8c34fd5d75a47061cd1e06b8d2a99e 3310304d41f99330c556ba5762c16294 342a0a6b527d3c56a1c248155ad3eef3 3e17165615e74ba0e937bbce42ed125b 3e1c1047d599bb579b11cc60f23a2cb2 40ac4ebac25af30ea0c8555ab861c4e0 43c130f57d329a1e29d452df08ad96e4 46c6e0c51391b07f5f2eafd983d8624e 48845bc47bcc337dfe40bebf930649b3 腾讯安全御见威胁情报中心 **66 / 73** ----- TLP:WHITE 4996112daaec54fb53e5d4bbd1735af2 4b0bc7e723a7dff471aa15cba82f8136 50c86f1de6caeefce7c1d7e2ef39aa79 5fbd4d107c08a3e65804c0edee68a267 602658138ae185cc219f2a5c6028751e 63d3975b9a277730d7432e27ef77202b 65f0581d200935d0d1e969d87b6d1e6b 6633ac6507883244359add02032d15fd 6e95c5c01f94ef7154e30b4b23e81b36 6fb537011718106745d05236ab4fb42a 6febd1729c49f434b6b062edf8d3e7f3 714e6589d253c188209a579ff812f423 77100e638dd8ef8db4b3370d066984a9 7bcacd70639e70d8d803cca30c9d9744 7c94a0e412cc46db5904080980d993c3 7d6f2cd3b7984d112b26ac744af8428d 8662935003722d568e856fa054226a12 腾讯安全御见威胁情报中心 **67 / 73** ----- TLP:WHITE 8b565dfd7581a72659f7990acbf36804 8b8c026dac2cfbaf2006316d888632cd 8c25a708ea0e142190e03f5117f046f2 8ed4d39f4fd30e7f9fc91b571612bb43 8d3af3fea7cd5f93823562c1a62e598a 901e131af1ee9e7fb618fc9f13e460a7 9127b5f9dacd0ca5a753083c50cc1225 91b7b9928d20054181caa24f5b9aa839 94b660301590764702c77fb2e5c44daf 982a0d301204dadf70428bf007d4258d 9837c85faf3385b5289a671851d5c14c 9e7b254df610aefbc5253a646220401e a2054fff1fe1db66264f2f1a36ca19bb a3f85e3784d3e544617cc60ab6b387b4 a512a23491611604e05b31c44845fe17 a5a0bc689c1ea4b1c1336c1cde9990a4 bdfc03e3c33e914c716b4e88b7b62015 腾讯安全御见威胁情报中心 **68 / 73** ----- TLP:WHITE c1c829690c0a96fbc683c012b05d0cae c291c7a095c81929e0fff2319297cd84 c454d7902ba3959335b0ef8e074b50a2 c6e5b3a43192bccf9d108fe8783c20e0 c9ce24a7561dab524cb5413bf7fec81b cad355de03dc1439be27896c8c378cb9 cc63f5420e61f2ee2e0d791e13e963f1 d3ff9d278e26450a02a3ac1a159da39f dd954c34ac289118290d65fcb0549743 dd99d917eb17ddca2fb4460ecf6304b6 ea296441165b0c7f27f0ecac084df21a ee76c2cf3f4124c69c2bf47104951c49 f443e24c183e188ef3b0d8024afd4423 f684cd4ba25a36a9331a0dbcc047d1cb fa8c53431746d9ccc550f75f15b14b97 fbda493e248c1cfd6fb3ebaccce60887 fca3260cff04a9c89e6e5d23a318992c 腾讯安全御见威胁情报中心 **69 / 73** ----- TLP:WHITE fdce7fe4b333e3581ceda6a9ab7fb3be ###### C2: info.hangro.net console.hangro.net register.welehope.com www.phpvlan.com wiki.xxxx.com game.militaryfocus.net vachel.vicp.cc 180.150.227.24 39.109.4.143 103.81.171.157 ##### 6.3 MITRE ATT&CK **Tactic** **ID** **Name** **Initial Access** T1193 Spearphishing Attachment **Execution** T1106 Execution through API T1129 Execution through Module Load 腾讯安全御见威胁情报中心 **70 / 73** ----- TLP:WHITE T1203 Exploitation for Client Execution T1085 Rundll32 T1035 Service Execution T1204 User Execution **Persistence** T1179 Hooking T1137 Office Application Startup T1060 Registry Run Keys / Startup Folder **Defense Evasion** T1140 Deobfuscate/Decode Files or Information T1107 File Deletion T1036 Masquerading T1112 Modify Registry T1027 Obfuscated Files or Information T1085 Rundll32 T1099 Timestomp **Credential Access** T1179 Hooking T1056 Input Capture **Discovery** T1083 File and Directory Discovery T1046 Network Service Scanning T1135 Network Share Discovery T1057 Process Discovery 腾讯安全御见威胁情报中心 **71 / 73** ----- TLP:WHITE T1082 System Information Discovery T1007 System Service Discovery **Lateral Movement** T1534 Internal Spearphishing **Collection** T1123 Audio Capture T1005 Data from Local System T1114 Email Collection T1056 Input Capture T1113 Screen Capture **Command and Control** T1043 Commonly Used Port T1094 Custom Command and Control Protocol T1024 Custom Cryptographic Protocol T1001 Data Obfuscation T1065 Uncommonly Used Port ##### 6.4 参考文章 1) [https://malware.prevenity.com/2018/03/happy-new-year-wishes-from-china.ht](https://malware.prevenity.com/2018/03/happy-new-year-wishes-from-china.html) ml 2) [https://s.tencent.com/research/report/762.html](https://s.tencent.com/research/report/762.html) 腾讯安全御见威胁情报中心 **72 / 73** -----