Hermit(隱士)最新攻擊樣本分析

發布時間 2019-06-04

Hermit(隱士)是一個專注于攻擊朝鮮半島的APT組織,其主要攻擊目標為區塊鏈、數字貨幣、金融目標,外交實體等領域。
 
近日,啟明星辰金睛安全研究團隊通過VenusEye威脅情報中心狩獵系統捕獲到一個可疑文檔。經過分析,我們確認其為Hermit(隱士)組織最新攻擊樣本。



載荷分析


本次攻擊入口與以往相同,均以釣魚郵件為切入點,并最終釋放木馬以實現信息竊取。

宏代碼主體如下:


宏代碼執行后,會下載兩個文件。其中一個文件是正常文檔,該文檔被重命名為與釣魚文檔相同的文件名,之后宏會打開這個正常文檔以迷惑受害者。

正常文檔視圖如下:



木馬分析


宏代碼下載的另一個文件便是木馬主體,即一個DLL文件。下載后會調用regsvr32.exe注冊和運行該DLL。DLL加載成功后,會將自身拷貝到%APPDATA%\\ChromInst\\ChromSrch.dat,并調用rundll32執行導出函數中的"insrchmdl"函數。同時創建開機自啟項目以達到長期駐留的目的。

 


1、"insrchmdl"函數分析如下:

 
創建兩個文件路徑,一個用于存放從FTP服務器下載的加密數據,另一個用于存放解密后的文件。

 
木馬的FTP服務器地址,登陸賬號,登陸密碼均硬編碼在程序內,但是數據經過加密。解密函數如下:

 
解密后的FTP服務器地址,登陸賬號密碼如下所示:


程序會根據不同的操作系統位數從FTP服務器的“Ftake”目錄下選擇下載對應的加密數據。對應表如下:


下載的加密數據通過如下的解密算法進行解密并寫到%APPDATA%\\ChromInst\\ChromInst.dat中。


之后以相同的方式調用解密后的Chromlnst.dat中的“insrchmdl”函數并注冊開機自啟項。


最后創建批處理程序以清理ChromSrch.dat文件。


2.ChromInst.dat分析


首先創建互斥量“ChromInstMutex”,然后獲取磁盤信息。


創建如下文件。


創建5個線程。


第一個線程用于設置全局鍵盤監控,并將日志記錄到%TEMP%\\ChromInst.klg中。


第二個線程用于獲取屏幕截圖并保存在%TEMP%\\ChromInst.scf中。


第三個線程調用cmd執行systeminfo,將獲取到的系統信息重定向到%TEMP%\\ChromInst.cif中。

 
第四個線程用于讀取同目錄下的ChromInst.lst文件。該文件為一個配置文件,程序通過讀取配置文件中的FROM和TO字段將FROM字段中的文件移動到TO字段對應的路徑中。然后使用FTP的方式上傳到指定目錄。


上傳文件


最后一個線程會將前幾個線程獲取到的數據上傳到FTP服務器,然后從服務器下載對應主機的控制文件。指令文件格式為ssl_[主機唯一標識].txt

 
然后將文件解密并保存到同目錄下的SSL.dat文件中,解密過程如下:


后續程序會根據SSL.dat文件中的指令來執行不同的功能。


支持的指令與指令對應執行的功能對照表如下:



關聯分析


由于攻擊者的粗心大意,我們在其宏代碼中,發現了一行被注釋的代碼。

 
這段拼接的URL即http://fighiting1013.org/2/,該URL曾被友商披露為Hermit(隱士)APT組織所使用,并且其宏代碼也與之前有一定的相似之處。因此我們認為本次攻擊與Hermit(隱士)APT組織有一定的關聯。

進一步分析發現,該組織所使用的SYSCON木馬與KONNI木馬存在一定的關聯。例如將獲取到的受害者主機信息是存放到不同命名前綴的TEMP文件中,然后再重命名上傳。因此我們認為該組織可能和曾經使用過SYSCON木馬的DarkHotel組織以及使用KONNI木馬攻擊的組織有著千絲萬縷的聯系。


威脅指標(IOC)


715051f5028dc793e06b20b4048f33a6
cfac51f1a10d6a176617ffd3a3a261cb
naiei-aldiel.16mb[.]com


解決方案


1、 啟明星辰VenusEye威脅情報中心已經支持對本次攻擊活動相關情報的查詢。

2、 已部署啟明星辰APT檢測產品的客戶無需升級,即可有效檢測此次攻擊。