技術分析
RSS

北朝鮮のハッカー Konni がロシア政府をターゲットに APT 侵入攻撃を実行

1.14.2022Global Support & Service
Share:

要約

TeamT5 は最近、ロシア外務省に対する攻撃インシデントを捕捉した。そのバックドアプログラムの内容に基づき、北朝鮮のハッカーグループ、Konni による攻撃と見られる。このインシデントでは、ハッカーは2022年を祝う内容の祝賀カードを利用してフィッシング形式の悪意のあるメールを送信した。ユーザーがメールを開いて添付ファイルを実行した場合、ユーザー PC にバックドアプログラムである Sanny がインストールされ、悪意のある中継サイトにアクセスし、ハッカーが長期的かつ持続的にユーザーの PC を制御することが可能になる。
キーワード:APT、Konni、Sanny、北朝鮮、ロシア

インシデントの説明

TeamT5 は最近、悪意のあるフィッシングメールを取得した。ハッカーはロシアの駐セルビア大使館の人員になりすまし、同僚に向けた新年祝賀の内容で受信者にはロシア外務省の副大臣も含まれていた。メールの内容とスクリーンセーバーの詳細は下図の通りである。
konni_pic1.png
図1:悪意のあるメールの本文
konni_pic2.png
図2:スクリーンセーバーの画面
メール内の添付ファイルを解凍するとスクリーンセーバーである поздравление.scr が確認できる。実行するとスクリーンセーバーが起動し中継サイトである i758769.atwebpages.com にアクセスし、悪意のある Payload をダウンロードして Base64 アルゴリズムにより悪意のある CAB ファイルを取得する。
悪意のある CAB ファイルを実行すると3つのファイルが生成されるが、これらはインストーラーの Installer.bat、バックドアプログラムの scrnsvc.dll、構成設定ファイルの scrnsvc.ini である。バックドアプログラムが正常に動作すると中継サイトに接続され、ハッカーの遠隔操作を可能にする。詳細な攻撃フローは下図の通りである。
https://uploads.teamt5.org/upload/original/%E6%96%87%E7%AB%A0%E9%85%8D%E5%9C%96_%E5%8C%97%E9%9F%93%E9%A7%AD%E5%AE%A2Konni%E7%9E%84%E6%BA%96%E4%BF%84%E7%BE%85%E6%96%AF%E6%94%BF%E5%BA%9C%E9%80%B2%E8%A1%8CAPT%E5%85%A5%E4%BE%B5%E6%94%BB%E6%93%8A-JP.jpg
図3:攻撃行為の概略図
バックドアプログラムの scrnsvc.dll を TeamT5 が研究する情報資料と相互比較したところ、北朝鮮のハッカーグループ Konni がよく用いるバックドアプログラム系の Sanny と関連している可能性が非常に高い。

サンプル解析

Installer.bat

Installer.bat はバッチファイルであり、主な用途は現在のディレクトリにある scrnsvc.dll と scrnsvc.ini を %windir%\System32\ のルートにコピーすることである。scrnsvc.dll を scrnsvc サービス(ScreenSaver Management Service)に登録し、現在のディレクトリにあるすべてのファイルを削除する。その中には存在しないファイル wpnprv.dll も含まれる。
konni_pic4.png
図4: Installer.bat の内容

scrnsvc.dll

scrnsvc.dll は PE ファイルで、ファイルのコンパイル時刻は UTC 2021-12-20 08:02:38 である。そのため、ハッカーが今回の攻撃行動で意図的にコンパイルしたバックドアプログラムだということがわかる。
scrnsvc.dll が scrnsvc サービスに登録されると、PC を起動するたびにシステムプログラムの services.exe を通じて scrnsvc サービスが起動する。
scrnsvc.dll はサービス名称の SHA256 ハッシュ値を AES 鍵(CTR mode)として使用してハードコーディング(Hard Code)された悪意のある Payloadをデコードする。Payload には再構成の必要があるインポートアドレステーブル、IAT(Import Address Table)が含まれる。解析を通じて、中継サイトに接続する URL のアドレスは upload(up.php)、download(dn.php)、delete(del.php)機能を持つものに区別されることが確認されたが、delete 機能と関連するソースコードはまだ発見されておらず、今後もバックドアプログラム Sanny は進化を続け機能を拡張していくものと思われる。以下に参考図を示す。
konni_pic5.png
接続する中継サイト URL に含まれる upload、download、delete
バックドアプログラム scrnsvc.dll を実行すると、まず中継サイト i758769.atwebpages.com で新たな構成設定ファイルを取得する。デコードと解析の結果、新たな中継サイトのアドレスは 455686.c1.bizh378576.atwebpages.com であった。新たな中継サイトに接続すると、unicode UTF-8 形式の値65001を Console Codepage の登録コードに書き込み、その後 systeminfo、tasklist 等のコマンドを通じて被害を受けたホストコンピュータのデータを収集して暗号化し CAB ファイルにパッキングすると、中継サイト http://<C2 domain>/up.php?name=<computer_name> 上に返すことで、中継サイトから success! が返される。以下に参考図を示す。
konni_pic6.png
図6:systeminfo、tasklist を利用して被害を受けたホストコンピュータからデータを収集
konni_pic7.png
図7:被害を受けたホストコンピュータのデータを送り返し、設定された中継サイトでの受領成功
success を受け取ると、中継サイト http://<C2 domain>/dn.php?name=<computer_name>&prefix=cc(0) から CAB ファイルをダウンロードする。CAB ファイルをデコードすると、悪意のあるコマンドを CreateProcessAsUserW または CreateProcessW によって実行する。その後は、必ず中継サイト http://<C2 domain>/dn.php?name=<computer_name>&prefix=tt から新たな CAB ファイルをダウンロードしてデコードし実行する。以下に参考図を示す。
konni_pic8.png
図8:中継サイトで制御コマンドをダウンロードした CAB ファイルをデコードして実行

IOC セキュリティ侵害インジケーター

下表の IoC セキュリティ侵害インジケーターを環境内の情報セキュリティ防御設備にインポートしておくことを推奨する。
IOC セキュリティ侵害インジケーター
種類Value説明
MD58EC9A6FF22C497375B53344CAFEB2292поздравление.scr
SHA1FB7D9BC8309F589E39E091EF5A7B08260596FFCDпоздравление.scr
SHA256451B9D4144555FCC791231DB73EF3BFDB6FFDDEB655E07A457108766F0E6AD39поздравление.scr
MD58269E1B2AFAA832E7900640EBFE44BB4Install.bat
SHA1191604259DEF68250272919214AEA109503200FEInstall.bat
SHA256B6845A436DF2B3A79DD1B0E4A57A06C60F718EEE0272A3EB81183EE4750037B9Install.bat
MD557A22E74BA27B034613B0C6AC54A10D5scrnsvc.dll
SHA1C1D312762D598831D431B08E47075047582856AAscrnsvc.dll
SHA256A3CD08AFD7317D1619FBA83C109F268B4B60429B4EB7C97FC274F92FF4FE17A2scrnsvc.dll
MD558560F053A099104B0F8AC1C9FED2903scrnsvc.ini
SHA1F08C033D1A9F2F75A17CBCB71E3041263D2D3E61scrnsvc.ini
SHA25624F5FB91CA41E4A191A44629F064FA14C4063B7CDA68EBC2B7AFB7E68A9D3CDDscrnsvc.ini
Domaini758769.atwebpages.comDownload Site
Domain455686.c1.bizC2 Server
Domainh378576.atwebpages.comC2 Server
*画像のソース: Pixabay
1.14.2022Global Support & Service
Share: