早在2016年发布了一系列针对ScarCruft的最初调查博文后,我们继续跟踪ScarCruft这一威胁组织。ScarCruft是一个说韩语的据称是得到政府支持的威胁组织,该组织的工具目标通常是与朝鲜半岛有联系的组织和公司。该威胁组织技术高超,而且从各方面看都非常有资源。
我们最近发现一些有关该威胁组织的有趣遥测数据,所以决定深入挖掘ScarCruft最近的活动情况。这表明该威胁组织仍然非常活跃,在不断精心制作其攻击工具。根据我们的遥测数据,我们可以还原ScarCruft的二进制感染过程。该组织使用多阶段二进制感染来有效更新每个模块,躲避检测。此外,我们还对这次攻击行动的受害者进行了分析,发现这次攻击行动的受害者与另一个被称为DarkHotel的APT的受害者出现了有趣的重合。
多阶段二进制感染
ScarCruft威胁组织使用了常用的恶意软件传播技巧,例如鱼叉式钓鱼攻击和战略网络入侵(SWC)。与Daybreak攻击行动一样,ScarCruft也使用零日漏洞利用程序来实施复杂的攻击。但是,有时候对恶意软件作者来说,使用公开的漏洞利用代码更为快捷和有效。我们发现该威胁组织正在广泛测试一个已知的公开漏洞,为下次攻击行动做准备。
为了为最终有效载荷部署植入物,ScarCruft使用一种多阶段二进制感染方案。通常,初始的释放器是由感染过程创建的。初始释放器最值得注意的功能是能够绕过Windows UAC(用户账户控制),以便以更高的权限执行下一个有效载荷。这种恶意软件使用公共提权漏洞代码(CVE-2018-8120 )或UACME。后者经常被合法的红队所使用。之后,安装程序恶意软件会从其资源创建下载器和配置文件并执行它。下载器恶意软件使用配置文件并连接到C2服务器来获取下一个有效载荷。为了躲避网络层面的检测,下载器使用了信息隐藏技术。下载的有效载荷是一个图片文件,但是其中包含要解密的附加恶意负载。
上述过程创建的最后一个有效载荷为一个知名的后门程序,又被Cisco Talos称为ROKRAT。这种基于云服务的后门程序包含很多功能,其中最主要的功能是窃取信息。一旦执行,该恶意软件会创建10个随机目录路径,并将其用于特定目的。恶意软件同时创建11个线程:6个线程负责窃取受感染主机的信息,5个线程用于将收集的数据转发到4个云服务(Box、Dropbox、Pcloud和Yandex)。将被盗数据上传到云服务时,它使用预定义的目录路径,例如/ english,/ video或/ scriptout。
同样的恶意软件包含功能齐全的后门功能。这些命令从云服务提供程序的/ script路径下载,相应的执行结果将上传到/ scriptout路径。它支持以下命令,足以完全控制受感染的主机:
· 获取文件/处理列表
· 下载额外的负载并执行
· 执行Windows命令
· 更新配置数据,包括云服务令牌信息
· 保存截屏和音频录音
ScarCruft组织不断扩大其渗透目标, 从受感染的主机窃取更多信息, 并继续创建额外的工具进一步窃取数据。我们研究期间,已经确认他们开始对移动设备表现出兴趣。
我们还发现了该威胁组织制作的一款有趣并且罕见的恶意软件——一种蓝牙设备收集器。该恶意软件负责窃取蓝牙设备信息。它是由一个下载器获取的,用来从受感染主机上直接收集信息。该恶意软件使用Windows Bluetooth API来找到连接的蓝牙设备信息,并保存以下信息。
· 实例名:设备名称
· 地址:设备地址:
· 类别:设备类别
· 连接:设备是否连接(是或否)
· 是否验证:设备是否经过验证(是或否)
· 记住:设备是否是被记住的设备(是或否)
攻击者似乎正在增加从受害者那里收集的信息的范围。
我们已经发现了多个这次攻击行动的受害者,根据我们的遥测数据,这些受害者主要位于越南和俄罗斯的投资和贸易公司。我们认为这些受害者可能与朝鲜存在关联,这也解释了为什么ScarCruft决定密切监控他们的原因。ScarCruft还对香港的一家外交机构进行了攻击,还有一家位于朝鲜的外交机构。ScarCruft攻击的目的似乎主要是为了获取政治和外交情报。
我们发现一名来自俄罗斯的受害者之前在朝鲜逗留期间也引发了恶意软件检测。这名受害者访问朝鲜的事实使其变得更特殊,并表明它可能有关于朝鲜事务的宝贵信息。ScarCruft在2018年9月21日感染了这名受害者。但在此之前,另一个APT组织也在2018年3月26日攻击了这名受害者,使其主机被GreezeBackdoor所感染。
GreezeBackdoor是DarkHotel高级可持续性威胁组织所使用的一种工具,我们之前曾经写过有关其他调查。此外,该受害者还在2018年4月3日遭到Konni恶意软件的攻击。Konni恶意软件会伪装成武器化文件中的朝鲜新闻项目(文档的名称为“为社么韩国抨击韩国最近与美国和日本的防务谈判.zip”)。
这不是我们第一次看到ScarCruft和DarkHotel威胁组织出现重合。我们团队的成员曾经在安全会议上介绍了这两个威胁组织之间的冲突。过去,我们也与我们的威胁情报服务客户分享了更多有关这些威胁的详情。他们都是说韩语的威胁组织,有时候他们的受害者会重合。但是,这两个威胁组织似乎有不同的TTP(策略、技巧和步骤),所以我们认为一个组织经常潜伏在另一个组织的阴影之下。
结论
ScarCruft已经证明自己是一个技术高超并且活跃的威胁组织。它对朝鲜事务相当感兴趣,会攻击那些可能与韩国有关联的行业以及全球的外交机构。根据ScarCruft最近的行为,我们坚信该威胁组织很可能会继续演化。