APT组织Andariel 发展史介绍(多图预警)
昨天想重点分享一个ppt,试试效果,来自韩国AhnLab(后来没发成功)
下图为所属朝鲜的所有活跃的组织,里面全是比较熟悉的名字
下面开始重点对Andariel组织进行介绍,这个组织我之前也分析过,是lazarus底下专门负责对外国政府进行打击的小分队。
a.著名行动:
MND (2008), DarkSeoul (2013), Operation Black Mine (2014-2015)
b.家族信息:
Malware : Andarat, Andaratm, Bmdoor, GhostRat, Rifdoor, Phandoor (packed with UPX, Themida, VMProtect)
c.该组织的比较出名的活动,窃取各种机密文件 :
https://www.ibtimes.co.uk/suspects-arrested-south-korea-atm-hacking-probe-aided-by-north-korean-1638293
https://edition.cnn.com/2017/10/10/politics/north-korea-hackers-us-south-korea-war-plan/index.html
d.组织行动时间线
e.攻击链以及感染向量
f.攻击手段
鱼叉攻击:宏
水坑攻击:Active-X 0 day
易受攻击的IT管理系统漏洞:投放免杀样本,窃密样本
供应链攻击:Installer, Updater
g.宏方面如下:
Macro Downloader (2015)
- Attack against Seoul ADEX 2015 Participants MacroDownloader
Macro Downloader (2017)
- Disguised as diplomatic documents -> intended to activate the Macro by showing blurred text
h.ActiveX方面如下:
i.易受攻击的信息管理系统方面
从下图可以看出,该组织分别从主机开放端口,提供更新服务的系统,需要更新的服务器这机房面进行入侵,进行对这些目标的IT管理系统进行漏洞利用
j.列举这几种 信息管理系统产品漏洞利用
k.攻击链攻击方面,
修改安装包文件,
在web服务器上嵌入恶意脚本,用来确认获取IP并确认是否为攻击对象,如果不是列表IP,则不作为攻击目标,从而分发正常的安装包(推测)。
将后门植入升级服务器系统中,点击升级即下载木马
——————————————————————————————————
Andariel组织 2014年到2015年的活动
2014年, Black Mine行动,围绕能源,运输,IT,经济贸易,传媒,政治这几大行业进行攻击。
该行动具体内容见链接。
http://www.ahnlab.com/kr/site/securityinfo/newsletter/magazine.do?letterNo=201511
——————————————————————————————————
2015年到2016年的
这一段详细如下
http://www.koreatimes.co.kr/www/news/nation/2015/11/116_191362.html
一、宏方面:
Attack against Seoul ADEX 2015 Participants (1)
- MacroDownloader
Attack against Seoul ADEX 2015 Participants (1)
-Rifdoordownloade
二、2016年,该组织通过易受攻击的IT管理系统漏洞分发恶意软件
- 160家韩国公司和政府机构的计算机数量超过140,000台
据报道-42,608份文件被泄露
-攻击始于2014年,于2016年2月被发现
下面为详情
http://www.reuters.com/article/us-northkorea-southkorea-cyber-idUSKCN0YZ0BE
—————————————————————————————————
下面为2017年到2018年的攻击情况
一、在**网站上窃取其他玩家的屏幕(2016-2017) 【妈耶我是真的没看错么】
- 首先发现于2016年10月
- 通过入侵合法网站并将其替换为恶意文件来修改实用程序安装程序
在牌局中查看其他玩家的牌,Poker games,扑克游戏
二、ATM攻击事件
ATM黑客攻击
总计-230,000张信用卡被泄露(2016年9月〜2017年2月)
- 通过中国,泰国和台湾的ATM取款
-4名嫌疑人被捕→获得了一名中间人的私人财务数据,这名中间人声称他从中获取了信息
朝鲜
- 此攻击中使用的恶意软件与韩国MND黑客中使用的恶意软件非常相似
相关链接http://english.yonhapnews.co.kr/news/2017/09/06/0200000000AEN20170906007600315.html
http://www.itworld.co.kr/news/106281
样本方面
Phandoor (Deployed May 24, 2017)
-通过金融工人工会网站分发
-Phandoor变种
-移除 ‘anonymous?’ 字符串
Andarat
通过金融工人联盟主页部署
- 每次运行文件时,会通过向文件末尾添加无意义值来更改哈希值
使用宏进行攻击
- Get Macro activation by showing the contents of documents dimly -> Download and create V3 UI.
三、韩国最大的旅行社被黑
-攻击者使用 Report Product A 和 IT Management B 漏洞
-个人信息被盗
相关链接:
https://coinjournal.net/south-koreas-largest-travel-agency-breached-hacker-demands-bitcoin-payment/
Press Release _ 180207 _ Ha** Tour -Due to personal information leakage accident -Administrative disposition -Resolution _ final -1.hwp
http://english.yonhapnews.co.kr/search1/2603000000.html?cid=AEN20180201010700315 & http://blog.alyac.co.kr/1527
——————————————————————————————————
恶意代码方面
恶意软件种类
Bmdoor
Gh0st RAT
Phandoor
Andaratm
GhostRat 韩文版本
Zcon.exe
Wiper
_____________________________________________________________
下面是该组织各类样本代码层的关联分析
宏代码相似性
脚本相似性
Xwdoor 和 Phandoor 中存在相同字符
异常相似的进行加密的代码,几次行动中使用的样本进行比较
相似进行编码的代码段,Rifdoor和Phandoor进行比较
关联分析,我只想说这实验室的人都是人才。
最后,相关链接如下
• ’黑矿行动'的秘密
http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_
dist=1&seq=24229
• 攻击国防工业,为什么?
http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist=2&seq
=26565
• 金融安全情报报告_分析针对国内的威胁组织
http://www.fsec.or.kr/user/bbs/fsec/21/13/bbsDataView/910.do)
• Targeted Attacks on Major Industry Sectors in South Korea (CHA Minseok, AVAR 2017)
• 有针对性的攻击? 保护您的中央管理软件
http://image.ahnlab.com/file_upload/asecissue_files/ASEC_REPORT_vol.89.pdf
• 打破一个着名的企业安全系统,攻击一个主要的黑客组织-1
http://blog.skinfosec.com/221234553836
• 知名企业安全系统的攻击,
http://blog.skinfosec.com/221234742268
• Hana Tour的个人信息泄露......作为受托人开始https://blog.naver.com/secustory/221213258234
从PPT的描述中,可以看出该组织在对各国(包括天朝)都进行了攻击,因此还是需要对其进行深度研究,从而进行防御。
原报告扫码可见,或者加入知识星球哦,为了保持公平,随着人数增加价钱也会一直上调