据悉,与朝鲜政府有联系的黑客组织正在大量的利用一个被称为Goldbackdoor的新型恶意软件来攻击记者。这种攻击包括了多个阶段的感染活动,其最终目的是要从目标中窃取敏感的信息。研究人员发现,该攻击活动于今年3月份开始,并且目前正在进行中。

Stairwell的研究人员跟进了韩国NK新闻的一份初步报告,该报告显示,一个被称为APT37的朝鲜APT组织已经从一名前韩国情报官员的私人电脑中窃取了信息。根据该报告,该攻击行为者,也被称为Ricochet Collima、InkySquid、Reaper或ScarCruft,曾经试图冒充NK News,并尝试分发一种新型的恶意软件。

NK News将这些细节传递给了Stairwell进行了更进一步调查。该网络安全公司的研究人员发现了Goldbackdoor恶意软件的详细信息。根据他们在上周末发表的一份报告,该恶意软件很可能是Bluelight恶意软件开发者开发的。

研究人员写道,Goldbackdoor恶意软件与Bluelight恶意软件使用了很多相同的技术,这些技术上的重合,很可能是开发者之间共享了开发资源,我们可以有充分的理由将Goldbackdoor归于APT37。

去年8月,在针对一家韩国报纸社的一系列攻击中,APT37曾使用Bluelight作为有效载荷,并且在这些攻击中使用了已知的Internet Explorer的漏洞。

正如Stairwell研究人员所指出的,记者目前是"敌对政府的首选攻击目标",并且也经常成为了网络间谍攻击的目标。事实上,去年最大的安全事件之一就是各国政府利用非政府组织集团的Pegasus间谍软件来对记者和其他目标进行攻击。

Stairwell研究人员写道:"记者的设备中往往存储有许多重要的文档文件。有时还包括很多敏感的信息。对记者进行攻击可以获得高度敏感的信息,而且还能对他们的消息来源进行额外的攻击"。

 多阶段的恶意软件

研究人员写道,当前的攻击活动从3月18日开始进行,当时NK News与Stairwell威胁研究小组研究了多个恶意的文件,这些文件来自于专门针对朝鲜记者进行攻击的鱼叉式网络钓鱼活动。这些信息是从韩国国家情报局(NIS)的一名前局长的个人电子邮件中发出的。

他们写道:"这些文件中有一个是新的恶意软件样本,我们将其命名为Goldbackdoor,它是基于一个嵌入式工件开发的文件”。

研究人员说,Goldbackdoor是一个分多阶段进行感染的恶意软件,它将第一阶段的工具和最终的有效载荷分开,这可以使威胁攻击者在最初的目标被感染后停止恶意文件的部署。

他们在报告中写道,这种设计可能会限制研究人员针对有效载荷的分析和研究。

该恶意软件和之前的Bluelight一样,都会使用云服务提供商的基础设施来接收攻击者的命令和窃取的数据。研究人员所分析的样本使用了微软OneDrive和Graph APIs,而另外一个确定的SHA256哈希样本使用了谷歌Drive。

研究人员说,攻击者在恶意软件中嵌入了一组API密钥,其可以用于对微软的云计算平台Azure进行验证,并检索执行相关的命令。

他们写道,Goldbackdoor为攻击者提供了基本的远程命令执行、文件下载/上传、键盘记录和远程卸载等能力,这种功能的设定与Bluelight有密切的关系。但是,Goldbackdoor功能增加的重点放在了文件收集和键盘的记录上。

 第一阶段

Goldbackdoor是一个非常复杂的恶意软件,研究人员将其感染的过程分解成了两个阶段。在第一阶段,受害者必须从一个被破坏的网站上下载一个ZIP文件,URL: https[:]//main[.]dailynk[.]us/regex?id=oTks2&file=Kang Min-chol Edits2.zip。研究人员说,域名dailynk[.]us很可能是为了冒充NK新闻(dailynk[.]com)而选择使用的,并且APT37在以前的攻击活动中就曾经使用过。

Stairwell研究人员从该网站的DNS历史记录中检索出了ZIP文件进行分析,并且在他们调查时,该网站已经停止了解析。他们发现,该文件创建于3月17日,包含了一个282.7MB的Windows快捷文件LNK,其文件名为Kang Min-chol Edits,这可能是指朝鲜矿业部长Kang Min-chol。

研究人员写道:"攻击者将这个快捷方式伪装成了一个文件,他们使用了微软Word的图标,并且又添加了类似于Word文档的注释。”

他们还为LNK文件填充了0x90字节,即NOP/No Operation,人为地增加了这个文件的大小,他们说这可能是为了防止该文件被上传到检测服务或恶意软件库的一种保护手段。

研究人员说,一旦开始执行,LNK文件就会执行一个PowerShell脚本,在开始Goldbackdoor的部署过程之前创建并打开一个诱饵文件。

 第二阶段

在部署诱饵文件后,PowerShell脚本会解码第二个PowerShell脚本,然后将下载并执行存储在微软OneDrive上的名为 "Fantasy"的shellcode有效载荷。

研究人员说,"Fantasy" 有效载荷是该恶意软件攻击的第二阶段,同时也是部署Goldbackdoor软件过程的第一部分。这两部分都是以独立的代码(shellcode)编写的,其中包含了一个嵌入式有效载荷,并使用进程注入技术来部署恶意软件。

研究人员说,Fantasy解析和解码有效载荷的过程,会使用VirtualAllocEx,WriteProcessMemory和RtlCreateUserThread等标准进程,在先前创建的进程下生成一个线程,然后执行它。

最后的攻击手段是使用一个shellcode有效载荷,并且该线程会在Fantasy创建的进程中运行,执行恶意软件的最终部署。

研究人员写道,这个阶段交付的有效载荷其实是一个Windows可执行文件。

参考及来源:

https://threatpost.com/hackers-target-journalists-goldbackdoor/179389/