欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

针对日本和韩国的 Tick 网络间谍组织通过U盘感染未联网计算机

来源:本站整理 作者:佚名 时间:2018-06-30 TAG: 我要投稿


前言
Tick是一个主要针对日本和韩国的组织的网络间谍组织。该组织以使用各种定制恶意软件(如Minzen、Datper、Nioupala(Daserf)和HomamDownLoader)进行攻击而闻名。Unit 42上一次写关于Tick group的文章是在2017年7月。
最近,Unit 42发现Tick group盯上了韩国一家国防公司创建的一种特定类型的安全USB设备。在韩国USB设备及其管理系统具有多种功能以便符合安全准则。
usb驱动程序武器化是一种罕见的攻击技术,很可能是为了传播到air-gapped系统,即不连接公共网络的系统。此外,我们的研究表明,在这些攻击中使用的恶意软件只会试图感染运行Microsoft WindowsXP或Windows Server 2003的系统。尽管如此,恶意软件似乎是在Windows软件的新版本可用时创建的。这似乎意味着有意针对安装在没有互联网连接的系统上的不受支持的Microsoft Windows版本。air-gapped系统在许多国家是政府、军事和国防承包商以及其他行业垂直系统的常见做法。
我们没有发现任何关于这次攻击的公开报道,我们怀疑Tick group在多年前的攻击中使用了这份报告中描述的恶意软件。根据收集到的数据,我们不认为这个恶意软件是任何攻击活动的一部分。
我们对这次攻击的描述目前还不完整。根据我们迄今为止的研究,我们能够勾画出以下假设的攻击场景:
Tick group以某种方式破坏了USB驱动程序的安全类型,并将恶意文件加载到未知数量的设备上。这些USB设备被韩国ITSCC(英语)认证为安全的。
Tick group创建了一个特定的恶意软件,我们把它叫做SymonLoader,它以某种方式在旧的Windows系统上运行,并不断地查找这些特定的USB设备。
SymonLoader只针对WindowsXP和WindowsServer 2003系统。
如果SymonLoader检测到存在特定类型的安全USB设备,它将尝试使用直接访问文件系统的API加载未知的恶意文件。
在下面的研究中,我们概述了围绕SymonLoader的发现。我们目前没有一个受损的USB设备或植入到设备的恶意文件。因此,我们无法描述完整的攻击过程。
因为我们既没有受损的USB设备,也没有未知的恶意文件,所以我们也无法确定这些USB设备是如何被破坏的。具体来说,我们不知道是否在制造这些设备的供应链中被破坏,或者这些设备是否在制造后被破坏,并通过社会工程等其他手段进行分配。
 
Tick和木马化的合法软件
Unit 42尚未确定具体的感染过程;大致过程如图1所示。

首先,攻击者使用木马化版本的合法软件来欺骗用户来安装加载程序,这是一个新的工具,我们把它叫做“SymonLoader”。
当执行时,加载程序开始监视受害机器上存储设备的变化。如果SymonLoader检测到安全USB设备,就会尝试通过与安全USB相对应的设备驱动程序访问存储,并在设备信息字段中检查特定于一种类型的安全USB的字符串。然后,它访问USB上的一个预定义的存储位置,并提取一个未知的PE文件。
正如我们在去年7月所描述的那样,Tick group木马化了一个合法的程序和一个名为HomamDownLoader的嵌入式恶意软件。攻击者随后将木马化的合法应用程序作为附件发送给钓鱼邮件目标。执行时,木马化的合法应用程序会丢弃HomamDownLoader并安装合法程序。收件人可能不知道恶意软件,因为合法的应用程序是正常工作的。
在我们对这些最新攻击的研究中,我们发现自从去年发布博客以来,我们发现了更多合法的韩语软件(表1)。与我们在2017年7月检查过的样本相似,这些新的木马化的合法程序也移除了HomamDownLoader。同样,正如我们在2017年7月的研究中所看到的,HomamDownLoader可以从远程C2服务器安装其他恶意文件;在这个例子中是pre.englandover[.]com。
Trojanized Legitimate Software
SHA256
Movie Player installer
b1bb1d5f178b064eb1d7c9cc7cadcf8b3959a940c14cee457ce3aba5795660aa
Industrial battery monitoring software
3227d1e39fc3bc842245ccdb16eeaadad3bcd298e811573b2e68ef2a7077f6f6
Storage encryption software
92e0d0346774127024c672cc7239dd269824a79e85b84c532128fd9663a0ce78
File encryption software
33665d93ab2a0262551c61ec9a3adca2c2b8dfea34e6f3f723274d88890f6ceb
我们在2018年1月21日发现了一个有趣的样本(表2)。类似于上面列出的示例,是一个合法程序的木马化版本,并移除了恶意软件。在这个例子中,木马化应用程序是一个日语围棋游戏。这个程序没有像我们在2017年7月看到的那样安装HomamDownLoader,而是安装了一个新的加载程序SymonLoader。
SymonLoader从特定类型的安全USB设备中提取隐藏的可执行文件,并在受害系统上执行。不幸的是,我们没有这个文件的副本。
Trojanized Legitimate Software
SHA256
GO Game
8549dcbdfc6885e0e7a1521da61352ef4f084d969dd30719166b47fdb204828a
尽管与以前的不同,我们还是认为这与Tick group有关,因为游戏中的shellcode与前面描述的木马化的韩国程序中的完全相同。此外,SymonLoader与HomamDownLoader存在重用代码(图2)。已知的Tick group开发并不断更新自定义工具。因此,这样的代码重用与他们的开发实践是一致的。

 
安全USB
SymonLoader首先检查目标主机的操作系统版本,如果它比Windows XP或Windows Server 2003更新,则不工作。根据PE标头中的时间戳,恶意软件创建于2012年9月26日。如果没有修改时间日期值,Windows 7和WindowsServer 2008都已经发布了。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载