「Higaisa(黑格莎)」組織近期攻擊活動報告

2021-02-19 騰訊安全威脅情報中心


長按二維碼關注

御見威脅情報中心


騰訊安全威脅情報中心檢測到「higaisa(黑格莎)」APT組織在被披露後經過改頭換面再次發動新一輪的攻擊,在這輪攻擊中,該組織捨棄了使用多年的dropper,完全重寫了攻擊誘餌dropper,此外還引入了dll側加載(白加黑)技術對抗安全軟體的檢測和查殺。

「Higaisa(黑格莎)」組織是騰訊安全2019年披露的一個來自朝鮮半島的專業APT組織,因為其常用higaisa作為加密密碼而得名。該組織具有政府背景,其活動至少可以追溯到2016年,且一直持續活躍到現在。

該組織常利用節假日、朝鮮國慶等朝鮮重要時間節點來進行釣魚活動,誘餌內容包括新年祝福、元宵祝福、朝鮮國慶祝福,以及重要新聞、海外人員聯繫錄等等。被攻擊的對象包括跟朝鮮相關的外交實體(如駐各地大使館官員)、政府官員、人權組織、朝鮮海外居民、貿易往來人員等,受害國家包括中國、朝鮮、日本、尼泊爾、新加坡、俄羅斯、波蘭、瑞士等。

文件名

MD5

功能/屬性

Happy-new-year-2020.scr

2173b589b30ba2b0242c82c9bcb698b2

dropper

Rekeywiz.exe

082ed4a73761682f897ea1d7f4529f69

白文件,用於+加黑

Duser.dll

5de5917dcadb2ecacd7ffd69ea27f986

Downloader

cspwizres.exe

54c0e4f8e59d1bd4c1e0d5884b173c42

竊密木馬

2020-New-Year-Wishes-For-You.scr

37093D3918B0CC2CA9805F8225CCCD75

dropper

Duser.dll

01B90259A9771D470582073C61773F30

Downloader

390366d02abce50f5bb1df94aa50e928

390366d02abce50f5bb1df94aa50e928

Gh0st trojan

bbf9822a903ef7b9f33544bc36197594

bbf9822a903ef7b9f33544bc36197594

Gh0st trojan

0a15979a72f4f11ee0cc392b6b8807fb

0a15979a72f4f11ee0cc392b6b8807fb

Gh0st trojan

739a40f8c839756a5e6e3c89b2742f8e

739a40f8c839756a5e6e3c89b2742f8e

Gh0st trojan


與以往的攻擊手段類似,「higaisa(黑格莎)」依然以節假日祝福為主題誘餌進行魚叉釣魚攻擊,最近抓獲的攻擊郵件主題為「Happy new year 2020」、「2020 New Year Wishes For You」等,欺騙用戶下載並打開附件。


附件解壓後得到木馬誘餌名為Happy-new-year-2020.scr、2020-New-Year-Wishes-For-You.scr,運行後釋放並打開與主體相對應的圖片欺騙受害者。


1.Dropper

1)2020-New-Year-Wishes-For-You.scr與Happy-new-year-2020.scr功能類似

可能由於被曝光的原因,該組織對dropper進行了重寫,捨棄了原來將payload存放在資源及使用「higaisa」作為密鑰進行rc4解密的方式,直接從數據段中解密(XOR 0x1A)釋放惡意文件到指定目錄並執行。

釋放的惡意文件如下:
%ALLUSERSPROFILE%\CommonDatas\Rekeywiz.exe(白)
%ALLUSERSPROFILE%\CommonDatas\Duser.dll(黑)
%TEMP%\Happy-new-year-2020.jpg(正常的偽裝圖片)


2)使用com創建EfsRekeyWizard.lnk到啟動目錄,指向Rekeywiz.exe實現持久化。


2.Downloader


1)Rekeywiz.exe文件為作業系統白文件,運行時會加載edsadu.dll,該文件也是系統自帶文件,edsadu.dll加載過程中會加載Duser.dll,實現白加黑攻擊:


2)Duser.dll的InitGadgets接口函數中實現了惡意功能,創建惡意線程:


3)使用RC4解密出C2,然後獲取磁碟序列號的CRC32值作為tn參數,獲取隨機字母為ved參數,向C2發送請求。

C2為:hxxp[:]//petuity.shopbopstar.top/research/index.php 及 hxxp[:]//adobeinfo.shopbopstar.top/notice/index.php


4)C2返回的數據也是經過RC4加密的數據,解密後為PE文件,釋放到temp目錄後執行:

5)其中文件名也來自於C2的返回數據,取數據從後往前第一個』&』之後的字符作為文件名:

6)C2返回的數據實例,與之前的攻擊類似:最終下載了infostealer+gh0st RAT


3.Infostealer


cspwizres.exe(54c0e4f8e59d1bd4c1e0d5884b173c42)文件主要行為是獲取計算機信息,並發送到C2。

1)解密出要執行的命令結果如下:主要用於收集系統信息、網絡信息、進程信息、文件信息等。systeminfo&ipconfig -all&tasklist&net view&dir c:\&dir c:\users\&dir d:\&dir e:\:


2)創建cmd執行以上命令,並通過管道獲取執行結果

3)解密出C2,C2地址與之前的攻擊活動相似

4)將獲取的信息上傳到C2中185.247.230.252:


4.RAT
持續監控中發現,後期攻擊者會對不同的受害者下載gh0st改版木馬駐留受害者系統,我們目前共在受害機發現3個不同版本的gh0st木馬

版本1:


該木馬為gh0st RAT,含有文件管理、進程管理、CMDshell等功能,C2: x1.billbord.net:6539。

版本2:


該木馬為gh0st RAT,含有文件管理、進程管理、CMDshell等功能, C2: www.phpvlan.com:8080

版本3:


該木馬為gh0st遠控改版,只保留插件管理功能,所有功能需插件實現,C2: console.hangro.net:1449。


5.TTP/武器更新


1)Dropper
本輪攻擊利用「白+黑」的方式加載Downloader模塊:rekeywiz.exe+ Duser.dll


2)Downloader
自騰訊安全御見威脅情報中心公布該組織攻擊報告後(https://s.tencent.com/research/report/836.html),該組織對其Downloader進行改版,新一批downloader下載功能均基於老版本的curl開原始碼實現:

Tactic

ID

Name

Initial Access

T1193

Spearphishing Attachment

Execution

T1106

Execution through API


T1129

Execution through Module Load


T1203

Exploitation for Client Execution


T1085

Rundll32


T1035

Service Execution


T1204

User Execution


T1175

Component Object Model and  Distributed COM


T1072

Third-party Software

Persistence

T1179

Hooking


T1137

Office Application Startup


T1038

DLL Search Order Hijacking


T1060

Registry Run Keys / Startup Folder

Defense Evasion

T1140

Deobfuscate/Decode Files or Information


T1107

File Deletion


T1036

Masquerading


T1112

Modify Registry


T1027

Obfuscated Files or Information


T1085

Rundll32


T1099

Timestomp

Credential Access

T1179

Hooking


T1056

Input Capture

Discovery

T1083

File and Directory Discovery


T1046

Network Service Scanning


T1135

Network Share Discovery


T1057

Process Discovery


T1082

System Information Discovery


T1007

System Service Discovery

Lateral Movement

T1534

Internal Spearphishing

Collection

T1123

Audio Capture


T1005

Data from Local System


T1114

Email Collection


T1056

Input Capture


T1113

Screen Capture

Command and Control

T1043

Commonly Used Port


T1094

Custom Command and Control Protocol


T1024

Custom Cryptographic Protocol


T1001

Data Obfuscation


T1065

Uncommonly Used Port


我們建議外貿企業及重要機構參考以下幾點加強防禦:
1、通過官方渠道或者正規的軟體分發渠道下載相關軟體;


2、謹慎連接公用的WiFi網絡。若必須連接公用WiFi網絡,建議不要進行可能洩露機密信息或隱私信息的操作,如收發郵件、IM通信、銀行轉帳等;最好不要在連接公用WiFi時進行常用軟體的升級操作;


3、提升安全意識,不要打開來歷不明的郵件的附件;除非文檔來源可靠,用途明確,否則不要輕易啟用Office的宏代碼;


4、及時安裝作業系統補丁和Office等重要軟體的補丁;


5、使用殺毒軟體防禦可能的病毒木馬攻擊,對於企業用戶,推薦使用騰訊T-Sec終端安全管理系統(騰訊御點)。騰訊御點內置全網漏洞修復和病毒防禦功能,可幫助企業用戶降低病毒木馬入侵風險;


6、推薦企業用戶部署騰訊T-Sec高級威脅檢測系統(騰訊御界)及時捕捉黑客攻擊。御界高級威脅檢測系統,是基於騰訊安全反病毒實驗室的安全能力、依託騰訊在雲和端的海量數據,研發出的獨特威脅情報和惡意檢測模型系統。(https://s.tencent.com/product/gjwxjc/index.html)


IOCs
185.247.230.252infostealer
petuity.shopbopstar.topdownloader
adobeinfo.shopbopstar.top downloader
console.hangro.net:1449gh0st plug
www.phpvlan.com:8080gh0st
x1.billbord.net:6539gh0st

MD5
2173b589b30ba2b0242c82c9bcb698b2
082ed4a73761682f897ea1d7f4529f69
54c0e4f8e59d1bd4c1e0d5884b173c42
4d937035747b4eb7a78083afa06022d3
5de5917dcadb2ecacd7ffd69ea27f986
37093d3918b0cc2ca9805f8225cccd75
01b90259a9771d470582073c61773f30
25c80f37ad9ad235bea1a6ae68279d2e
739a40f8c839756a5e6e3c89b2742f8e
6a0fab5b99b6153b829e4ff3be2d48cd
0a15979a72f4f11ee0cc392b6b8807fb
390366d02abce50f5bb1df94aa50e928
bbf9822a903ef7b9f33544bc36197594
4ff9196bac6bf3c27421af411c57ba52

參考資料
警惕來自節假日的祝福:APT攻擊組織"黑格莎(Higaisa)"攻擊活動披露


 

相關焦點

  • 警惕來自節假日的祝福:APT攻擊組織"黑格莎(Higaisa)"攻擊活動披露
    根據對該組織活動中所使用的攻擊技術、被攻擊人員背景等分析研判,我們認為該攻擊組織為來自朝鮮半島的一個具有政府背景的APT攻擊組織。根據騰訊安全御見威脅情報中心的大數據分析發現,該組織的攻擊活動至少可以追溯到2016年,而一直持續活躍到現在。該組織常利用節假日、朝鮮國慶等朝鮮重要時間節點來進行釣魚活動,誘餌內容包括新年祝福、元宵祝福、朝鮮國慶祝福,以及重要新聞、海外人員聯繫錄等等。
  • 全球高級持續性威脅(APT) 2019年研究報告
    此方向的APT組織具有很強的政治背景,常攻擊我國政府、外貿、金融、能源等領域的公司、個人及相關科研單位。該方向黑客組織十分龐大,往往呈集團化運作,有國家力量背書。在整個2019年,該方向的攻擊組織,包括Darkhotel、Higaisa(黑格莎)、Lazarus、Group123(APT37)、毒雲藤、窮奇等都非常的活躍,均有對國內的目標進行釣魚活動和攻擊。
  • 俄羅斯鐵路存在可訪問其監控系統的漏洞;Win10打開特定路徑導致BSOD,可用來DoS攻擊
    ptsecurity發布有關APT組織Winnti的分析報告俄羅斯鐵路公司存在漏洞,可用來訪問其監控系統和內部服務。此次攻擊洩露了大約1.2 GB的數據,包括商業信息、採購信息、項目信息和員工信息。此外,SEPA稱,目前電子郵件、員工時間表、專業的報告工具、系統和資料庫仍然不可用。儘管SEPA並未透露攻擊者名稱,但Conti聲稱發起了攻擊,並已在其網站上發布了竊取的數據的7%。
  • BITTER組織近期攻擊巴基斯坦活動分析
    BITTER組織(又稱APT-C-08、T-APT-17、蔓靈花、苦象)是一個長期針對亞洲國家進行攻擊活動的APT組織,其還曾被發現對沙烏地阿拉伯進行攻擊
  • 「靈貓」組織針對中東地區的攻擊活動分析報告
    「靈貓」組織(又名Moonlight、Molerats、Gaza Hackers Team、Gaza Cybergang)是一個來自加沙地區的APT攻擊組織,其最早的攻擊活動時間可追溯至2012年。國外安全廠商ClearSky曾在2016年所發的「Operation DustySky」報告[1]中指出該組織的背後為哈馬斯(伊斯蘭抵抗運動組織的簡稱)。
  • 疑似白象組織針對巴基斯坦、孟加拉國等南亞國家的最新攻擊活動報告
    除了巴基斯坦的目標外,我們還發現疑似有孟加拉國某組織的高級技術管理人員也被進行了攻擊。經過關聯分析,該次攻擊疑似白象組織所為。而有意思的是,經過對基礎設施的關聯分析,我們還發現某次攻擊,而該攻擊活動又可以關聯到BITTER(蔓靈花)組織。
  • 瑞星網絡攻擊報告:黑客組織TA505近期網絡攻擊分析
    瑞星安全專家通過對攻擊者所使用的數字籤名、技術手法、命名風格等行為進行分析,發現此攻擊事件是知名網絡攻擊組織「TA505」所為。TA505是國外安全公司Proofpoint研究團隊最早披露並命名的一個活動非常頻繁的網絡犯罪組織,根據目前收集到的數據,2014年該組織分發了上百次Dridex惡意銀行木馬,2016年和2017年的進行大規模Locky木馬攻擊活動,而且其中的很多攻擊活動涉及到了全世界數以億計的惡意消息。2018年開始投遞FlawedAmmyy木馬,針對銀行、金融機構、工商業進行定向攻擊。
  • 疑似「海蓮花」組織早期針對國內高校的攻擊活動分析
    漏洞文檔,通過對該漏洞文檔及相關攻擊活動的分析,我們關聯到該組織近期針對南亞國家的攻擊活動。並且發現了疑似「海蓮花」組織在2017年5月初針對國內實施的一次集中式的攻擊活動,結合內部的威脅情報數據,我們認為這是該組織利用「永恆之藍」漏洞實施的一輪重點針對國內高校的攻擊活動。本報告將詳細分析「海蓮花」組織新的攻擊活動中利用的攻擊技術細節,並披露其在2017年5月實施的攻擊行動詳情,以及其中的關聯性。
  • 疑似中國臺灣方向相關組織近期攻擊活動分析
    近日,國內有關安全情報中心監測到一些偽裝文檔的攻擊樣本,發現的樣本偽裝內容多為「檢察院裁決書」、「臺資交帳」等,以開源AsyncRAT
  • 近期雙尾蠍APT組織利用偽造社交軟體等針對多平臺的攻擊活動分析
    該組織長期針對中東地區,最早於2017年被披露,至少從2016年5月起,持續針對巴勒斯坦軍事機構、教育機構等重要領域開展了有組織,有計劃,有針對性的攻擊。近期,國內有關安全研究團隊在日常的威脅狩獵中捕獲了該組織多起攻擊樣本,涉及Windows和Android雙平臺。
  • 疑似BITTER組織利用LNK文件的攻擊活動分析
    該組織主要針對周邊國家地區的政府,軍工業,電力,核等單位進行攻擊,以竊取敏感資料為目的,具有強烈的政治背景。近期,奇安信威脅情報中心紅雨滴團隊在日常高價值樣本挖掘中,捕獲了BITTER組織多個攻擊樣本,在此次攻擊活動中,BITTER組織首次利用LNK文件作為攻擊入口,從遠程獲取MSI文件執行,最終釋放執行.NET惡意軟體竊取受害者機器敏感信息。
  • 蔓靈花(BITTER)APT組織針對中國境內軍工、核能、政府等敏感機構的最新攻擊活動報告
    組織是一個長期針對中國、巴基斯坦等國家進行攻擊活動的APT組織,該APT組織為目前活躍的針對境內目標進行攻擊的境外APT組織之一。騰訊御見威脅中心在今年五月份捕捉到了疑似該組織對我國境內敏感單位的攻擊活動,但是由於當時無法下載到具體的攻擊模塊,因此無法進行進一步的關聯和分析。而在10月底,騰訊御見威脅情報中心再次捕捉到了疑似該組織對我國的軍工業、核能、政府等重點單位的攻擊,並且獲取到了完整的攻擊武器庫,經過進一步的關聯分析,我們確認該攻擊組織就是2016年曝光的蔓靈花。
  • 蔓靈花(BITTER)APT組織針對中國境內政府、軍工、核能等敏感機構的最新攻擊活動報告
    該組織主要針對政府、軍工業、電力、核等單位進行攻擊,竊取敏感資料,具有強烈的政治背景。該組織最早在2016由美國安全公司Forcepoint進行了披露,並且命名為「BITTER」,同年國內友商360也跟進發布了分析報告,命名為「蔓靈花」,鑑於對「誰先發現誰命名」的原則,我們繼續沿用友商們對該組織的命名。
  • 對 Sofacy 黑客組織近期開始使用的 DDE 攻擊手段進行分析
    Unit 42和其他機構在2018年上半年展示了這個黑客組織是如何繼續針對世界各地的多個組織(主要是在北美和歐洲的政府、外交和其他戰略組織)的。繼2018年2月和3月我們對Sofacy最新的研究之後,我們發現了一項新的攻擊活動,它使用了一種被廣泛認為是屬於Sofacy組織的不太知名的工具Zebrocy。
  • 拍拍熊(APT-C-37):持續針對某武裝組織的攻擊活動揭露
    圖3.2    偽裝的應用軟體圖標RAT攻擊樣本分析截至目前,拍拍熊組織此次攻擊活動已使用到數種分別針對Android和Windows的不同RAT。該RAT情況信息可參閱FireEye之前發表的詳細報告《Now You See Me - H-worm by Houdini》[3]。
  • Hermit(隱士)APT組織2020年最新攻擊活動分析
    該組織的攻擊對象包括與朝鮮半島相關的非政府組織、政府部門、貿易公司、新聞媒體等。SYSCON/SANNY木馬是一個非常有特色的遠程控制木馬,通過ftp協議來進行C&C控制,該後門的主要攻擊目標為朝鮮半島相關的重要政治人物或者要害部門,偶爾也會針對東南亞等國進行攻擊。該活動自2017年下半年開始活躍,並且對多個目標進行了攻擊活動。被曝光後,該組織活動沒有任何減弱的跡象。
  • 【黑客攻擊】俄羅斯黑客組織Gamaredon的攻擊活動分析
    該組織不以破壞或獲利為主要目的,旨在竊取目標的敏感信息。Gamaredon是最為活躍的APT組織之一,與傳統的APT攻擊模式不同的是,該組織在攻擊活動中使用了大量的基礎的域名,這種TTP在網絡犯罪團夥中較為常見。近年來,該組織的攻擊活動雖然被多次暴露,但其並沒有停止攻擊的步伐,依然動作頻頻。
  • 美人魚(Infy)APT組織的歸來——使用最新的Foudre後門進行攻擊活動的分析
    ,相關情報顯示其攻擊活動主要針對政府機構,由國內外安全相關情報中心於2016年5月進行披露,該組織最早的攻擊活動可以追溯到2010年,並且期間一直沒有長期間斷過。該組織來源為中東地區,使用的後門由於其C2的請求中帶有infy的路徑,因此被名為infy後門。2017年,國外安全相關機構發布報告披露了其使用了新版本的後門,命名為Foudre。在2018年,則被披露了關於Foudre後門的第八版本。在本次攻擊活動中,我們發現了該組織使用的第21版本與第22版本。
  • 「海蓮花」(OceanLotus)組織2019年針對中國大陸的攻擊活動匯總
    一、概述"海蓮花"(又名APT32、OceanLotus),被認為是來自越南的APT攻擊組織,自2012年活躍以來,一直針對中國大陸的敏感目標進行攻擊活動,是近幾年來針對中國大陸進行攻擊活動最活躍的APT攻擊組織,甚至沒有之一。