新型恶意攻击活动，目标是韩国冬奥会相关机构

2023-11-25 01:27:56 4HOU_新闻来源：ZONE.CI 全球网 0 阅读模式

一、背景

McAfee Advanced Threat Research分析人员发现了一起针对平昌冬奥会的攻击活动。电子邮件附件是一个恶意的Microsoft Word文档，原文件名”농식품부, 평창 동계올림픽 대비 축산악취 방지대책 관련기관 회의 개최.doc（由农林业部和平昌冬奥会组织）。

邮件的主要目标是[email protected]以及BCC在线上的若干韩国机构。这些机构中的大多数与奥运或多或少都有关系，提供基础设施或承担辅助角色。攻击者看起来正在扩大攻击范围。

针对平昌冬奥会的攻击始于2017年12月22日，最近的一次在12月28日。攻击者首先将植入程序以HTA文件嵌入恶意文档，然后隐藏在远程服务器的1张图片中并使用混淆的Visual Basic宏来启动解码脚本。此外，他们还编写了自定义的PowerShell代码来解码隐藏在图片中的植入程序。

二、分析

该恶意文档于12月29日09:04由韩国提交给Virus Total，即发送到目标一天之后。该邮件于12月28日23:34从新加坡发送的，IP地址为 43.249.39.152。攻击者伪造信息，看起来发信人来自韩国国家反恐中心（NCTC）[email protected]。时机选择的很好，因为NCTC正在该地区为奥运进行反恐训练。此邮件富有欺骗性的发信人使信息合法，从而增加了受害者点击的机率。

根据我们对电子邮件头部的分析，此消息不是来自于NCTC，而是来自攻击者位于新加坡的IP地址。该邮件是从Postfix邮件服务器发送的，源主机名ospf1-apac-sg.stickyadstv.com。当用户打开文档时，有韩文提示受害者启用宏以允许在他们的Word版本中打开该文档。

图1：恶意文档指示启用宏

图2：启用宏

文档包含一个混淆后的VB宏:

图3：Visual Basic 宏:

当用户点击“启用宏”后，恶意文档将启动PowerShell脚本。该文档是由作者“John”于12月27日15:52创建的。

恶意文档将启动以下PowerShell脚本：

图4：命令行手动执行PowerShell 脚本

该脚本从远程下载并读取图片文件，并执行隐藏在图片文件中的PowerShell嵌入脚本。

攻击者使用12月20日发布的开源工具Invoke-PSImage将PowerShell脚本嵌入到图片中。隐写工具将脚本的字节嵌入到图片的像素中，使攻击者能够将恶意PowerShell代码隐藏在远程服务器的可见图片之中。以下脚本可由Invoke-PSImage生成，以便从远程服务器的图片中执行攻击者的植入程序。

图5：原始PowerShell 脚本

图6：包含隐藏PowerShell 代码的图片

为验证使用了隐写，可用StegExpose工具来检查文件：

结果证实文件中存在隐藏的数据。

一旦脚本运行，它将从图片中解码后的脚本传递给Windows命令行的变量$ x，该变量使用cmd.exe执行混淆脚本并通过PowerShell运行。

&&set  xmd=echo  iex (ls env:tjdm).value ^| powershell -noni  -noex  -execut bypass -noprofile  -wind  hidden     – && cmd   /C%xmd%

提取出的脚本组合多种字符串混淆技术进行深层伪装。

图7：混淆后的PowerShell植入脚本

攻击者的目的是加大分析难度，规避模式匹配检测技术。由于混淆未涉及PowerShell中的原生函数，因此脚本可在混淆状态下运行并正常工作。

图8：混淆后的控制服务器

当我们解除控制服务器URL混淆后，植入程序建立SSL连接到如下站点：

hxxps://www.thlsystems.forfirst.cz:443/components/com_tags/views/login/process.php

根据我们的分析，此植入程序为攻击者的服务器建立了一个加密通道，可使攻击者能够在受害者机器上执行命令并安装其它恶意软件。最后，PowerShell 植入程序通过计划任务（如下所示）设置每天下午2点启动。 view.hta包含同样的PowerShell植入程序，并通过SSL建立远程连接hxxps://200.122.181.63:443/components/com_tags/views/news.php.

C:Windowssystem32schtasks.exe” /Create /F /SC DAILY /ST 14:00 /TN “MS Remoute Update” /TR C:UsersOps03AppDataLocalview.hta

图9：view.hta

在研究中，我们发现了一个Apache服务器（共享主机）的缓存日志，IP地址81.31.47.101。该日志包含控制服务器thlsystems.forfirst.cz的信息，该信息显示有1个来自韩国的IP连接到PowerShell 植入程序中包含的URL。这表明植入程序在韩国活跃，目标可能已感染。

图10：2017.12.29_Apache server 日志

在调查thlsystems.forfirst.cz的过程中，我们发现该网页属于合法机构，这表明该服务器已被攻陷，既可作为攻击者的加密反向通道，也可分发植入程序。此外，服务器还托管混淆后的PowerShell植入程序副本。

图11

植入程序与如下URL建立加密通道：hxxps://www.thlsystems.forfirst.cz:443/components/com_tags/views/admin/get.php

图12：2017.12.30_图片

在调查PowerShell 植入程序中IP地址200.122.181.63时，我们在哥斯达黎加发现了该服务器，域名解析为mafra.go.kr.jeojang.ga。该域名jeojang.ga通过Freenom（一个免费的匿名域名提供商）注册。看来攻击者正在使用隶属于韩国农林部的一部分域名，这与邮件附件名一致，但是此域名与该政府机构毫无关系。

始于12月22日的恶意文档将PowerShell植入程序以HTA文件的形式直接嵌入到Word中。McAfee Advanced Threat Research分析人员发现了另一个托管在此站点的文档，其原始标题为위험 경보 (전국야생조류 분변 고병원성 AI(H5N6형) 검출).docx，同样来自农林部。该文档由同一作者“John”于12月22日创建，不包含宏，而是嵌入HTA文件的OLE流。当韩语docx图标被点击，则启动嵌入的HTA文件Error733.hta。该文件包含相同的脚本代码来启动PowerShell植入程序，如view.hta中的示例。