Fractured Statue恶意活动:针对美国政府机构的鱼叉式钓鱼攻击
来源:岁月联盟
时间:2020-02-16
SHA-256:f3d3fa4c76adfabd239accb453512af33ae8667bf261758f402fff22d9df1f67
文件名:Gei All (0).txt
源文件内容:Fg37eqye0ee2eqse0e3SeY8evg3Geqhecy3-eqAexf32eUAe
解码后命令:cmd /c systeminfo
SHA-256:4b8790e9cb2f58293c28e695bec0a35e2ebd2da8e151c7e8c4513a1508c8bc94
文件名:Gei All (1).txt
源文件内容:Fg37eqye0ee2eqse0e3GeqOevg31eqge/y3SeYyeZfeD
解码后命令:cmd /c tasklist
在我们进行分析时,downplease.c1[.]biz和lookplease.c1[.]biz都解析到IP地址185.176.43[.]94。
归因分析
Konni:是恶意软件还是攻击者?
最初,“Konni”这个名称用于指代有针对性的活动中使用的远程访问木马,该恶意活动与朝鲜之间有很强的关联性。但是,随着其他恶意活动开始出现,并且TTP与之高度重叠,但新的恶意活动中没有再用到Konni RAT,因此一些安全研究人员开始使用“Konni”来表示一系列恶意活动背后的威胁参与者。所以,Unit 42团队也遵循了这一趋势,将攻击者称为“Konni恶意组织”。
Konni与Fractured Statue之间的关联
根据Cisco Talos发布的分析,Konni恶意组织开展的第一起恶意活动是2014年至2017年之间的持续信息窃取和远控木马分发活动。在整个2018年,Unit 42发布了关于Konni恶意组织活动的多篇文章,随后确定了该恶意组织在攻击中使用的两个新型恶意软件家族——NOKKI和CARROTBAT。而现在,在2019年,Unit 42继续观察到针对特定目标的CARROTBAT恶意活动,并发现Konni恶意组织仍然在使用这两种恶意软件,同时还使用了新型恶意软件CARROTBALL。目前,Konni恶意组织的TTP包括:
1、以对朝鲜感兴趣、与朝鲜有直接关联或与朝鲜开展业务的个人或组织发动攻击(根据Unit 42的先前研究证实);
2、在恶意文件中包含与朝鲜有关的信息,并利用恶意文件进行网络钓鱼(根据Unit 42的先前研究证实);
3、不断增强其Payload传递机制的类型和复杂性(从最初TrendMicro发现的简单Base 64字符串开始,到利用CARROTBAT,再到目前利用的CARROTBALL)。
然而,目前还不能完全判断该攻击确实属于Konni恶意组织。Unit 42和其他研究人员此前披露过关于该恶意组织的大量技术细节,模仿者可能会尝试模仿先前披露的TTP发动攻击,以阻碍归因分析工作或误导分析人员。
总结
总体而言,在Fractured Statue恶意活动中发现了明确证据,共同指向了此前在Fractured Block恶意活动中发现的TTP,并且其幕后的攻击者似乎仍然活跃。此外,根据攻击者对新型下载工具CARROTBALL的开发和利用,以及攻击者使用更常见的恶意软件分发机制CARROTBAT表明,该恶意组织此前的攻击方法可能逐渐失效。
通过以下方式,Palo Alto Networks的客户可以免受此威胁的侵害:
AutoFocus客户可以使用FracturedStatue、SYSCON、KONNI、CARROTBAT和CARROTBALL
标签来追踪恶意样本。
WildFire可以检测报告中提及的所有文件,并判定为恶意文件。
Cortex XDR可以阻止当前与Fractured Block恶意活动相关联的所有文件。
威胁指标
包含CARROTBAT的恶意文档:
a4f858c6b54683d3b7455c9adcf2bb6b7ddc1f4d35d0f8f38a0f131c60d1790f
ed63e84985e1af9c4764e6b6ca513ec1c16840fb2534b86f95e31801468be67a
9dfe3afccada40a05b8b34901cb6a63686d209e2b92630596646dba8ee619225
4c201f9949804e90f94fe91882cb8aad3e7daf496a7f4e792b9c7fed95ab0726
63c3817a5e9984aaf59e8a61ddd54793ffed11ac5becef438528447f6b2823af
包含CARROTBALL的恶意文档:
c1a9b923fc1f81d69bd0494d296c75887e4a0f9abfc1cdfbfa9c0f4ab6c95db7
CARROTBALL下载工具:
56924402a17393e542f6bf5b02cd030cc3af73bc2e1c894a133cebb2ca9405ee
SYSCON样本:
ceb8093507911939a17c6c7b39475f5d4db70a9ed3b85ef34ff5e6372b20a73e
52ba17b90244a46e0ef2a653452b26bcb94f0a03b999c343301fef4e3c1ec5d2
4958fe8c106200da988c22957821513efd05803460e8e5fcfedb5cbca8d87a5b
7d2b1af486610a45f78a573af9a9ad00414680ff8e958cfb5437a1b140acb60c
bdd90ed7e40c8324894efe9600f2b26fd18b22dcbf3c72548fee647a81d3c099
关联的SYSCON C2文件:
f3d3fa4c76adfabd239accb453512af33ae8667bf261758f402fff22d9df1f67
4b8790e9cb2f58293c28e695bec0a35e2ebd2da8e151c7e8c4513a1508c8bc94
ad63b8677c95792106f5af0b99af04e623146c6206125c93cf1ec9fbfeafaac9
c3ac29e4b0c5e1a991d703769b94c0790fbf81fd38cf6acdb240c5246c2517ca
a761b47ab25dc2aa66b2f8ad4ab9636e40ebbcaf67f8a34f3524456c09f47d76
42e874d96cb9046cd4113d04c1c5463b1d43a4e828ca872de11c08cd314e650f
基础架构
恶意域名:handicap[.]eu5[.]org
IP地址解析:69.197.143[.]12
恶意域名:panda2019[.]eu5[.]org
IP地址解析:162.253.155[.]226
恶意域名:downplease[.]c1[.]biz
IP地址解析:185.176.43[.]94
恶意域名:lookplease[.]c1[.]biz
IP地址解析:185.176.43[.]94
VirusTotal上识别的CARROTBALL样本
6fa895d0472e87dea3c5c5bd6774488d2d7fe409ff9ae83870be3740fdfd40e8
恶意域名:downyes[.]c1[.]biz
IP地址解析:不可用/未知
989c042ab9a07b11026bce78dc091f25fa51cb5e310c668904afc7939b197624
恶意域名:downplease[.]c1[.]biz
IP地址解析:185.176.43[.]94
上一页 [1] [2] [3]
