Konni组织针对虚拟货币行业投递AutoIt恶意软件-品论天涯网

近期奇安信威胁情报中心发现以虚拟货币行业监管条例和法律文档为诱饵的攻击样本，疑似针对韩国地区的虚拟货币行业参与者。

团伙背景5dr品论天涯网

Konni最开始是Cisco Talos团队于2017年披露的一类远控木马，活动时间可追溯到2014年，攻击目标涉及俄罗斯、韩国地区。2018年，Palo Alto发现该类恶意软件与APT37（别名Reaper、Group123、Scarcruft）有关的木马NOKKI存在一些关联。2019年起，韩国安全厂商ESTsecurity将Konni单独作为疑似具有东亚背景的APT组织进行报告和披露，并发现该组织与Kimsuky有一定联系。5dr品论天涯网

5dr品论天涯网

事件概述5dr品论天涯网

近期奇安信威胁情报中心发现以虚拟货币行业监管条例和法律文档为诱饵的攻击样本，疑似针对韩国地区的虚拟货币行业参与者。Zip压缩包中包含两个文件，其中一个为正常文档，另一个是伪装为文档的LNK（快捷方式）文件。5dr品论天涯网

5dr品论天涯网

文件名5dr品论天涯网	译文5dr品论天涯网
가상자산업감독규정_제정안5dr品论天涯网	虚拟货币行业监管条例_提案5dr品论天涯网
첨부1_가상자산_이용자_보호_등에_관한_법률_2단_정리5dr品论天涯网	附件1_虚拟资产用户保护法第二条概要5dr品论天涯网

如果受害者因为试图查看文档内容而点击LNK文件，LNK文件将暗中释放并执行一系列恶意脚本，收集受害者信息回传C2服务器，同时从C2服务器下载AutoIt恶意软件。根据攻击者使用的攻击手法和恶意代码的特点，我们将此次攻击活动归为Konni组织。5dr品论天涯网

5dr品论天涯网

详细分析5dr品论天涯网

攻击者借助伪装成文档的LNK文件展开的攻击流程如下。5dr品论天涯网

5dr品论天涯网

LNK文件5dr品论天涯网

LNK文件执行powershell代码。5dr品论天涯网

5dr品论天涯网

去混淆后代码如下，从LNK文件中提取出诱饵文档和CAB文件的数据。与Konni组织之前LNK攻击样本略有不同的是，提取文件数据时增加了单字节异或解密的步骤。5dr品论天涯网

5dr品论天涯网

释放的诱饵文档与LNK文件同名，打开后迷惑受害者。5dr品论天涯网

5dr品论天涯网

同时LNK文件还会暗中释放CAB文件，解压到”%PUBLIC%\documents”目录后执行其中的start.vbs脚本。CAB文件包含的内容如下。5dr品论天涯网

5dr品论天涯网

VBS & BAT脚本5dr品论天涯网

CAB文件中的VBS和BAT脚本为Konni组织常用的恶意代码组合，各脚本的作用分别如下。5dr品论天涯网

脚本名称5dr品论天涯网	说明5dr品论天涯网
start.vbs5dr品论天涯网	启动09402649.bat5dr品论天涯网
09402649.bat5dr品论天涯网	(1) 将start.vbs添加到"HKCU\Software\Microsoft\Windows\CurrentVersion\Run"实现持久化；5dr品论天涯网 (2) 运行95060869.bat；5dr品论天涯网 (3) 运行34631202.bat；5dr品论天涯网 (4) 运行42736915.bat5dr品论天涯网
95060869.bat5dr品论天涯网	调用36980785.bat从hxxp://settlors[.]com/get.php下载加密ZIP压缩包，解压后执行其中的1.bat文件5dr品论天涯网
34631202.bat5dr品论天涯网	调用14886621.bat将收集的信息（包括用户downloads目录、documents目录和desktop桌面的文件信息，以及systeminfo命令收集的系统信息）回传到hxxp://settlors[.]com/upload.php5dr品论天涯网
42736915.bat5dr品论天涯网	调用36980785.bat从hxxp://settlors[.]com/list.php下载CAB文件，解压后执行其中的temprun.bat文件5dr品论天涯网
36980785.bat5dr品论天涯网	从指定URL下载后续文件，该脚本的一个参数可以设置是否对URL参数进行加密处理5dr品论天涯网
14886621.bat5dr品论天涯网	将感染设备上的指定文件回传给C&C服务器，对上传文件数据和文件名进行加密处理5dr品论天涯网

当36980785.bat脚本的第三个参数不为”0”时，对URL参数（字符”?”后的内容）进行RC4加密，使用的key为当前时间戳对应的字符串。95060869.bat和42736915.bat调用该脚本时，均使用加密模式，因此在实际网络流量中看不到脚本代码中出现的明文参数。5dr品论天涯网

5dr品论天涯网

14886621.bat同样以当前时间戳对应的字符串为key，对上传文件的数据和文件名进行RC4加密。如果上传操作成功则删除原文件，并留下upok.txt文件作为标记。5dr品论天涯网

5dr品论天涯网

AutoIt恶意软件5dr品论天涯网

攻击者通过hxxp://settlors[.]com/get.php继续向受害者设备投递带有AutoIt恶意脚本的ZIP压缩包。根据压缩包中的文件修改时间，恶意脚本cdp.au3很可能在2023年12月就已经投入使用。5dr品论天涯网

5dr品论天涯网

95060869.bat在解压ZIP压缩包后，先执行其中的1.bat脚本。5dr品论天涯网

5dr品论天涯网

1.bat首先将压缩包中的其他文件移动到”%PUBLIC%\058ed324”目录下。接着设置注册表"HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders"的"Startup"值，指向新创建的目录"%SystemDrive%\ProgramData\Startup"，以绕过安全软件对默认Startup目录的检测。然后在该目录下释放update.vbs文件建立持久化。5dr品论天涯网

update.vbs通过注册表"HKCU\Software\Microsoft\Internet Explorer\Main"对IE进行设置，再运行压缩包中的start.bat。而start.bat直接调用AutoIt.exe运行AutoIt脚本cdp.au3。5dr品论天涯网

5dr品论天涯网

cdp.au3为经过编译的AutoIt脚本，文件前面添加了大量无效数据用以干扰检测。5dr品论天涯网

5dr品论天涯网

cdp.au3脚本通过创建互斥量（"Global\25DF74BF-B13F-83D4-E3BA-A3C35D1009FE"）保证只有单个实例运行。然后收集各类信息，包括用户账号是否为管理员、操作系统版本、杀毒软件名称、用户名、主机名。检测的杀毒软件涉及韩国安全厂商Ahnlab和ESTsoft。5dr品论天涯网

5dr品论天涯网

借助getserverurl函数从cdp.au3脚本同目录下的配置文件setting.ini获取C&C服务器URL，并在后面添加随机字符串组成的URL参数。5dr品论天涯网

5dr品论天涯网

备用C&C服务器URL使用DGA生成。5dr品论天涯网

5dr品论天涯网

在与C&C服务器的通信循环中，cdp.au3脚本向上述URL回传收集的信息，解析C&C返回的响应数据，以””和””为标记符提取出待执行的指令，然后交给processtask函数处理。5dr品论天涯网

5dr品论天涯网

Processtask函数从指定URL下载后续载荷并执行，支持的文件类型包括二进制文件（EXE、DLL）和脚本文件（BAT、Powershell、VBS）。5dr品论天涯网

5dr品论天涯网

cdp.au3脚本与C&C服务器的通信数据格式如下，由于服务器下发的后续指令为空，因此暂时无法进一步分析攻击者接下来的行为。5dr品论天涯网

5dr品论天涯网

溯源关联5dr品论天涯网

根据LNK文件特征，我们关联到Konni组织此次攻击活动所用的其他样本。5dr品论天涯网

MD5 5dr品论天涯网	1aac6272dd9b6d05fa256a89677e90b55dr品论天涯网
文件名5dr品论天涯网	-5dr品论天涯网
VT上传时间5dr品论天涯网	2024-03-05 09:55:57 UTC5dr品论天涯网
C&C URL 5dr品论天涯网	hxxps://nasions.com/v1/read/get.php5dr品论天涯网 hxxp://shakuss.com/upload.php5dr品论天涯网 hxxp://shakuss.com/list.php5dr品论天涯网

5dr品论天涯网

MD5 5dr品论天涯网	655893b1641565f8ea04da4d74116b8a5dr品论天涯网
文件名5dr品论天涯网	첨부1_성명_개인정보수집이용동의서.docx.lnk5dr品论天涯网
VT上传时间5dr品论天涯网	2024-03-07 06:57:59 UTC5dr品论天涯网
C&C URL 5dr品论天涯网	hxxps://goosess.com/read/get.php5dr品论天涯网 hxxp://stuckss.com/upload.php5dr品论天涯网 hxxp://stuckss.com/list.php5dr品论天涯网

两个样本释放的诱饵文档相似，内容均为“个人信息收集和使用协议”，但分别模仿了韩国虚拟货币行业的两家企业（coinone和UPbit）。其中第二个样本也在安全厂商Genians不久前的报告 [1]中披露。5dr品论天涯网

5dr品论天涯网

Konni组织此次攻击活动使用的AutoIt恶意软件在韩国安全厂商Ahnlab去年12月发布的报告[2]中有提及，为AutoIt版本的Amadey恶意软件。该安全厂商将Konni组织合并为Kimsuky组织进行追踪。5dr品论天涯网

5dr品论天涯网

总结5dr品论天涯网

随着近年来虚拟货币行业热度不减，不少网络犯罪团伙和攻击组织也将目光投向此处，意图攻击行业参与人员以窃取经济利益，Konni组织发起的此次攻击行动就是其中一个例子。该组织不再局限于对政府机构机密信息的刺探，直接将常用攻击手段迁移到虚拟货币行业，围猎缺乏警惕意识的受害者。5dr品论天涯网

5dr品论天涯网

防护建议5dr品论天涯网

奇安信威胁情报中心提醒广大用户，谨防钓鱼攻击，切勿打开社交媒体分享的来历不明的链接，不点击执行未知来源的邮件附件，不运行标题夸张的未知文件，不安装非正规途径来源的APP。做到及时备份重要文件，更新安装补丁。5dr品论天涯网

若需运行，安装来历不明的应用，可先通过奇安信威胁情报文件深度分析平台（https://sandbox.ti.qianxin.com/sandbox/page）进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。5dr品论天涯网

目前，基于奇安信威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等，都已经支持对此类攻击的精确检测。5dr品论天涯网

5dr品论天涯网

IOC5dr品论天涯网

MD55dr品论天涯网

e9db0e7aeb35758c6512d692e938178a5dr品论天涯网

ff44068ba6ed88e5391452cffb0983be5dr品论天涯网

7ee77ecd79b69a082750327b5750e6e45dr品论天涯网

64fbf63d29cb7e8d813702a2beeee856 (解压密码”a0”)5dr品论天涯网

1aac6272dd9b6d05fa256a89677e90b55dr品论天涯网

655893b1641565f8ea04da4d74116b8a5dr品论天涯网

5dr品论天涯网

C&C5dr品论天涯网

settlors.com5dr品论天涯网

oryzanine.com5dr品论天涯网

nasions.com5dr品论天涯网

shakuss.com5dr品论天涯网

goosess.com5dr品论天涯网

stuckss.com5dr品论天涯网

5dr品论天涯网

URL5dr品论天涯网

hxxp://settlors.com/get.php5dr品论天涯网

hxxp://settlors.com/upload.php5dr品论天涯网

hxxp://settlors.com/list.php5dr品论天涯网

hxxp://oryzanine.com/index.php5dr品论天涯网

hxxps://nasions.com/v1/read/get.php5dr品论天涯网

hxxp://shakuss.com/upload.php5dr品论天涯网

hxxp://shakuss.com/list.php5dr品论天涯网

hxxps://goosess.com/read/get.php5dr品论天涯网

hxxp://stuckss.com/upload.php5dr品论天涯网

hxxp://stuckss.com/list.php5dr品论天涯网

参考链接5dr品论天涯网

[1].https://www.genians.co.kr/blog/threat_intelligence/bitcoin5dr品论天涯网

[2].https://asec.ahnlab.com/en/59590/5dr品论天涯网