The North Korean APT group CloudDragon, also known as Kimsuky, continues to target South Korean governments and organizations. TeamT5 has been actively monitoring this threat actor and we recently discovered CloudDragon abusing VPN zero-day vulnerability to launch a new attack against South Korean entities.

## TeamT5's Vulnerability Research Results

TeamT5 recently discovered two malicious samples circulating in South Korea, and both samples are installers of a newly identified backdoor which we named MemzipRAT. With further investigation, we believe this attack was aiming at a South Korean company in the aerospace sector. The company is part of a top 10 conglomerate in South Korea, whose business includes aerospace, chemicals, financial services, IT, etc. 

In fact, CloudDragon has been accused of using VPN vulnerabilities to attack numerous entities recently, including Korean government agencies. According to TeamT5’s threat intelligence, we hold high confidence that the above malware to be follow-up attacks of the disclosed attack campaign conducted by CloudDragon. As the exploitation starts from a popular VPN system, these campaigns might lead to massive attacks and damage in the near future. And TeamT5 will keep taking careful attention to CloudDragon's recent campaign for it might end up a severe supply chain attack.

<br>

*Image courtesy of [Pixabay](https://pixabay.com/illustrations/north-korea-dprk-korea-juche-asia-1151137/)


Another CloudDragon attack abusing VPN zero-day vulnerability to target South Korean entities

北韓 APT 攻擊族群 CloudDragon（又名為 Kimsuky）持續針對南韓政府與組織發動攻擊。 TeamT5 長期持續關注此駭客族群，發現 CloudDragon 近期利用 VPN 零時差漏洞（zero-day vulnerability）對南韓發動另一波新的攻擊。

## TeamT5 漏洞研究結果

根據 TeamT5 近期研究，我們發現了兩個攻擊南韓的惡意程式樣本，與我們最新發現的後門程式 MemzipRAT 有高度關聯，皆為其安裝程式。我們推測這一波攻擊是針對南韓某航太產業公司而來，該受駭公司為南韓前十大企業之一，業務範圍涵蓋航太、化學、金融、IT 服務等。攻擊者利用一尚未揭露的  VPN 伺服器漏洞，駭進目標環境並部署惡意程式。

最近多起針對韓國的攻擊，包括南韓政府研究單位受駭，也疑似為 CloudDragon 透過 VPN 服務漏洞展開的入侵行動。根據 TeamT5 掌握的相關情資，我們有高度信心認為，這次攻擊使用的新後門程式為 CloudDragon VPN 攻擊的後續利用。我們推測，攻擊者將持續利用此知名 VPN 系統漏洞，發動更大型、損害更嚴重的攻擊，未來也不排除轉變為供應鏈攻擊的可能。

<br>

*圖片來源：[Pixabay](https://pixabay.com/illustrations/north-korea-dprk-korea-juche-asia-1151137/)

北韓駭客組織再次利用 VPN 零時差漏洞對南韓航太產業發動攻擊

# 摘要
TeamT5近期掌握到一針對俄羅斯外交部的攻擊事件，根據其中的後門程式內容，據信是來自於北韓駭客組織Konni的攻擊行動。該事件中，駭客利用恭賀2022新年為主題的賀卡，寄送魚叉式惡意郵件，若使用者開啟並執行郵件附檔，使用者電腦將會被植入後門程式Sanny，並連線至惡意中繼站，讓駭客長期且持續地控制使用者電腦。 

關鍵字：APT、Konni、Sanny、North Korea、Russia

## 事件說明 

TeamT5近日取得一惡意魚叉式電子郵件，駭客偽冒成俄羅斯駐塞爾維亞大使館人員，並向其同事祝賀新年，其收件者包含俄羅斯外交部副部長。郵件內容與螢幕保護程式詳見下圖。


![konni_pic1.png](https://res.cloudinary.com/dvgomg5gh/image/upload/v1642131163/konni_pic1_1f749bb061.png)
<center>圖1:惡意郵件內文</center>



![konni_pic2.png](https://res.cloudinary.com/dvgomg5gh/image/upload/v1642131163/konni_pic2_544dd383a7.png)
<center>圖2:螢幕保護程式畫面</center>


信件中的附檔經過解壓縮後會得到螢幕保護程式поздравление.scr，執行後將會出現螢幕保護程式並連線至中繼站 ```i758769.atwebpages.com```，下載惡意Payload並透過Base64演算法取得惡意CAB檔案。

惡意CAB檔案執行後會產生三個檔案，分別為安裝檔Installer.bat、後門程式scrnsvc.dll與組態設定檔scrnsvc.ini。當後門程式順利運作時，會連線至中繼站供駭客連線控制使用。詳細攻擊流程詳見下圖。


![konni_pic3.png](https://res.cloudinary.com/dvgomg5gh/image/upload/v1642131164/konni_pic3_e02f30a2f0.png)
<center>圖3:攻擊行動示意圖</center>


後門程式scrnsvc.dll與TeamT5的研究情資交叉比對後，持高度信心與北韓駭客組織Konni慣用之後門程式家族Sanny有關。

#樣本分析
## Installer.bat
Installer.bat為批次檔案，其主要用途是將當前目錄下的scrnsvc.dll和scrnsvc.ini複製到 ```%windir%\System32\``` 路徑下。將scrnsvc.dll註冊為scrnsvc服務（ScreenSaver Management Service），並刪除當前目錄的所有檔案，其中包含不存在的檔案wpnprv.dll。


![konni_pic4.png](https://res.cloudinary.com/dvgomg5gh/image/upload/v1642131162/konni_pic4_d25a82dcb1.png)
<center>圖4: Installer.bat內容</center>


## scrnsvc.dll
scrnsvc.dll為PE檔案，其檔案編譯時間為UTC 2021-12-20 08:02:38，因此相信是駭客因此次攻擊行動刻意編譯而成的後門程式。

當scrnsvc.dll被註冊為scrnsvc服務後，每當電腦開機將會透過系統程式services.exe帶起scrnsvc服務。scrnsvc.dll會使用服務名稱的SHA256雜湊值作為AES金鑰（CTR mode）來解密寫死（Hard Code）的惡意Payload，Payload包含需重建的導入位置表IAT（Import Address Table）。經過分析，發現連線中繼站的URL位址分別具有upload（up.php）、download（dn.php）和delete（del.php）功能，但並未看到與delete功能相關的程式碼，推測未來後門程式Sanny將會持續進化擴充功能。如下圖所示。


![konni_pic5.png](https://res.cloudinary.com/dvgomg5gh/image/upload/v1642131162/konni_pic5_d4003cd8fc.png)
<center>圖5: 連線中繼站URL中包含upload、download和delete</center>


後門程式scrnsvc.dll執行後，會先向中繼站i758769.atwebpages.com取得新的組態設定檔。經過解密分析後，新的中繼站位址分別為 ```455686.c1.biz``` 與 ```h378576.atwebpages.com``` 。連線至新中繼站後，會將unicode UFT-8格式的值65001寫至Console Codepage的註冊機碼當中，後續透過systeminfo、tasklist等指令，蒐集受害主機資料並加密封裝成CAB檔案，回傳至中繼站 ```http://<C2 domain>/up.php?name=<computer_name>``` 上，且預期中繼站回傳 ```success!```。如下圖所示。


![konni_pic6.png](https://res.cloudinary.com/dvgomg5gh/image/upload/v1642131164/konni_pic6_1cc73427fc.png)
<center>圖6:利用systeminfo、tasklis蒐集受害主機資料</center>


![konni_pic7.png](https://res.cloudinary.com/dvgomg5gh/image/upload/v1642131165/konni_pic7_60f93b8493.png)
<center>圖7:回傳受害主機資訊並預設中繼站接收成功</center>


收到success後，會向中繼站 ```http://<C2 domain>/dn.php?name=<computer_name>&prefix=cc(0)```下載CAB檔案。解密CAB檔案後，會將惡意指令透過CreateProcessAsUserW或CreateProcessW執行。與此之後，都是向中繼站 ```http://<C2 domain>/dn.php?name=<computer_name>&prefix=tt``` 下載新的CAB檔案並解密執行。如下圖所示。

![konni_pic8.png](https://res.cloudinary.com/dvgomg5gh/image/upload/v1642131165/konni_pic8_506bdc9b10.png)
<center>圖8: 向中繼站下載控制指令的CAB檔案回來解密執行</center>

## IOC威脅入侵指標
建議將下表的IoC威脅入侵指標匯入環境中的資安防禦設備。

<center>表1: IOC威脅入侵指標</center>

|Type|Value|描述|
|---|---|---|
|MD5|8EC9A6FF22C497375B53344CAFEB2292|поздравление.scr|
|SHA1|FB7D9BC8309F589E39E091EF5A7B08260596FFCD|поздравление.scr|
|SHA256|451B9D4144555FCC791231DB73EF3BFDB6FFDDEB655E07A457108766F0E6AD39|поздравление.scr|
|MD5|8269E1B2AFAA832E7900640EBFE44BB4|Install.bat|
|SHA1|191604259DEF68250272919214AEA109503200FE|Install.bat|
|SHA256|B6845A436DF2B3A79DD1B0E4A57A06C60F718EEE0272A3EB81183EE4750037B9|Install.bat|
|MD5|57A22E74BA27B034613B0C6AC54A10D5|scrnsvc.dll|
|SHA1|C1D312762D598831D431B08E47075047582856AA|scrnsvc.dll|
|SHA256|A3CD08AFD7317D1619FBA83C109F268B4B60429B4EB7C97FC274F92FF4FE17A2|scrnsvc.dll|
|MD5|58560F053A099104B0F8AC1C9FED2903|scrnsvc.ini|
|SHA1|F08C033D1A9F2F75A17CBCB71E3041263D2D3E61|scrnsvc.ini|
|SHA256|24F5FB91CA41E4A191A44629F064FA14C4063B7CDA68EBC2B7AFB7E68A9D3CDD|scrnsvc.ini|
|Domain|```i758769.atwebpages.com```|中繼站（Download Site）|
|Domain|```455686.c1.biz```|中繼站（C2 Server）|
|Domain|```h378576.atwebpages.com```|中繼站（C2 Server）|



*首圖來源：[Pixabay](https://unsplash.com/photos/ux9KoOSHrco)


北韓駭客Konni瞄準俄羅斯政府進行APT入侵攻擊

# 要約
TeamT5 は最近、ロシア外務省に対する攻撃インシデントを捕捉した。そのバックドアプログラムの内容に基づき、北朝鮮のハッカーグループ、Konni による攻撃と見られる。このインシデントでは、ハッカーは2022年を祝う内容の祝賀カードを利用してフィッシング形式の悪意のあるメールを送信した。ユーザーがメールを開いて添付ファイルを実行した場合、ユーザー PC にバックドアプログラムである Sanny がインストールされ、悪意のある中継サイトにアクセスし、ハッカーが長期的かつ持続的にユーザーの PC を制御することが可能になる。

キーワード：APT、Konni、Sanny、北朝鮮、ロシア

## インシデントの説明

TeamT5 は最近、悪意のあるフィッシングメールを取得した。ハッカーはロシアの駐セルビア大使館の人員になりすまし、同僚に向けた新年祝賀の内容で受信者にはロシア外務省の副大臣も含まれていた。メールの内容とスクリーンセーバーの詳細は下図の通りである。


![konni_pic1.png](https://res.cloudinary.com/dvgomg5gh/image/upload/v1642131163/konni_pic1_1f749bb061.png)
<center>図1：悪意のあるメールの本文</center>



![konni_pic2.png](https://res.cloudinary.com/dvgomg5gh/image/upload/v1642131163/konni_pic2_544dd383a7.png)
<center>図2：スクリーンセーバーの画面</center>


メール内の添付ファイルを解凍するとスクリーンセーバーである поздравление.scr が確認できる。実行するとスクリーンセーバーが起動し中継サイトである  ```i758769.atwebpages.com``` にアクセスし、悪意のある Payload をダウンロードして Base64 アルゴリズムにより悪意のある CAB ファイルを取得する。

悪意のある CAB ファイルを実行すると3つのファイルが生成されるが、これらはインストーラーの Installer.bat、バックドアプログラムの scrnsvc.dll、構成設定ファイルの scrnsvc.ini である。バックドアプログラムが正常に動作すると中継サイトに接続され、ハッカーの遠隔操作を可能にする。詳細な攻撃フローは下図の通りである。


![https://uploads.teamt5.org/upload/original/%E6%96%87%E7%AB%A0%E9%85%8D%E5%9C%96_%E5%8C%97%E9%9F%93%E9%A7%AD%E5%AE%A2Konni%E7%9E%84%E6%BA%96%E4%BF%84%E7%BE%85%E6%96%AF%E6%94%BF%E5%BA%9C%E9%80%B2%E8%A1%8CAPT%E5%85%A5%E4%BE%B5%E6%94%BB%E6%93%8A-JP.jpg](https://uploads.teamt5.org/upload/original/%E6%96%87%E7%AB%A0%E9%85%8D%E5%9C%96_%E5%8C%97%E9%9F%93%E9%A7%AD%E5%AE%A2Konni%E7%9E%84%E6%BA%96%E4%BF%84%E7%BE%85%E6%96%AF%E6%94%BF%E5%BA%9C%E9%80%B2%E8%A1%8CAPT%E5%85%A5%E4%BE%B5%E6%94%BB%E6%93%8A-JP.jpg)
<center>図3：攻撃行為の概略図</center>


バックドアプログラムの scrnsvc.dll を TeamT5 が研究する情報資料と相互比較したところ、北朝鮮のハッカーグループ Konni がよく用いるバックドアプログラム系の Sanny と関連している可能性が非常に高い。

# サンプル解析
## Installer.bat
Installer.bat はバッチファイルであり、主な用途は現在のディレクトリにある scrnsvc.dll と scrnsvc.ini を ```%windir%\System32\``` のルートにコピーすることである。scrnsvc.dll を scrnsvc サービス（ScreenSaver Management Service）に登録し、現在のディレクトリにあるすべてのファイルを削除する。その中には存在しないファイル wpnprv.dll も含まれる。


![konni_pic4.png](https://res.cloudinary.com/dvgomg5gh/image/upload/v1642131162/konni_pic4_d25a82dcb1.png)
<center>図4： Installer.bat の内容</center>


## scrnsvc.dll
scrnsvc.dll は PE ファイルで、ファイルのコンパイル時刻は UTC 2021-12-20 08:02:38 である。そのため、ハッカーが今回の攻撃行動で意図的にコンパイルしたバックドアプログラムだということがわかる。

scrnsvc.dll が scrnsvc サービスに登録されると、PC を起動するたびにシステムプログラムの services.exe を通じて scrnsvc サービスが起動する。

scrnsvc.dll はサービス名称の SHA256 ハッシュ値を AES 鍵（CTR mode）として使用してハードコーディング（Hard Code）された悪意のある Payloadをデコードする。Payload には再構成の必要があるインポートアドレステーブル、IAT（Import Address Table）が含まれる。解析を通じて、中継サイトに接続する URL のアドレスは upload（up.php）、download（dn.php）、delete（del.php）機能を持つものに区別されることが確認されたが、delete 機能と関連するソースコードはまだ発見されておらず、今後もバックドアプログラム Sanny は進化を続け機能を拡張していくものと思われる。以下に参考図を示す。


![konni_pic5.png](https://res.cloudinary.com/dvgomg5gh/image/upload/v1642131162/konni_pic5_d4003cd8fc.png)
<center>接続する中継サイト URL に含まれる upload、download、delete</center>

バックドアプログラム scrnsvc.dll を実行すると、まず中継サイト i758769.atwebpages.com で新たな構成設定ファイルを取得する。デコードと解析の結果、新たな中継サイトのアドレスは ```455686.c1.biz``` と ```h378576.atwebpages.com``` であった。新たな中継サイトに接続すると、unicode UTF-8 形式の値65001を Console Codepage の登録コードに書き込み、その後 systeminfo、tasklist 等のコマンドを通じて被害を受けたホストコンピュータのデータを収集して暗号化し CAB ファイルにパッキングすると、中継サイト ```http://<C2 domain>/up.php?name=<computer_name>``` 上に返すことで、中継サイトから ```success!``` が返される。以下に参考図を示す。


![konni_pic6.png](https://res.cloudinary.com/dvgomg5gh/image/upload/v1642131164/konni_pic6_1cc73427fc.png)
<center>図6：systeminfo、tasklist を利用して被害を受けたホストコンピュータからデータを収集</center>


![konni_pic7.png](https://res.cloudinary.com/dvgomg5gh/image/upload/v1642131165/konni_pic7_60f93b8493.png)
<center>図7：被害を受けたホストコンピュータのデータを送り返し、設定された中継サイトでの受領成功</center>


success を受け取ると、中継サイト ```http://<C2 domain>/dn.php?name=<computer_name>&prefix=cc(0)``` から CAB ファイルをダウンロードする。CAB ファイルをデコードすると、悪意のあるコマンドを CreateProcessAsUserW または CreateProcessW によって実行する。その後は、必ず中継サイト ```http://<C2 domain>/dn.php?name=<computer_name>&prefix=tt``` から新たな CAB ファイルをダウンロードしてデコードし実行する。以下に参考図を示す。

![konni_pic8.png](https://res.cloudinary.com/dvgomg5gh/image/upload/v1642131165/konni_pic8_506bdc9b10.png)
<center>図8：中継サイトで制御コマンドをダウンロードした CAB ファイルをデコードして実行</center>

## IOC セキュリティ侵害インジケーター
下表の IoC セキュリティ侵害インジケーターを環境内の情報セキュリティ防御設備にインポートしておくことを推奨する。

<center>IOC セキュリティ侵害インジケーター</center>

|種類|Value|説明|
|---|---|---|
|MD5|8EC9A6FF22C497375B53344CAFEB2292|поздравление.scr|
|SHA1|FB7D9BC8309F589E39E091EF5A7B08260596FFCD|поздравление.scr|
|SHA256|451B9D4144555FCC791231DB73EF3BFDB6FFDDEB655E07A457108766F0E6AD39|поздравление.scr|
|MD5|8269E1B2AFAA832E7900640EBFE44BB4|Install.bat|
|SHA1|191604259DEF68250272919214AEA109503200FE|Install.bat|
|SHA256|B6845A436DF2B3A79DD1B0E4A57A06C60F718EEE0272A3EB81183EE4750037B9|Install.bat|
|MD5|57A22E74BA27B034613B0C6AC54A10D5|scrnsvc.dll|
|SHA1|C1D312762D598831D431B08E47075047582856AA|scrnsvc.dll|
|SHA256|A3CD08AFD7317D1619FBA83C109F268B4B60429B4EB7C97FC274F92FF4FE17A2|scrnsvc.dll|
|MD5|58560F053A099104B0F8AC1C9FED2903|scrnsvc.ini|
|SHA1|F08C033D1A9F2F75A17CBCB71E3041263D2D3E61|scrnsvc.ini|
|SHA256|24F5FB91CA41E4A191A44629F064FA14C4063B7CDA68EBC2B7AFB7E68A9D3CDD|scrnsvc.ini|
|Domain|```i758769.atwebpages.com```| Download Site |
|Domain|```455686.c1.biz```| C2 Server |
|Domain|```h378576.atwebpages.com```| C2 Server |



*画像のソース: [Pixabay](https://unsplash.com/photos/ux9KoOSHrco)


北韓駭客組織再次利用 VPN 零時差漏洞對南韓航太產業發動攻擊

TeamT5 漏洞研究結果

Related Post

北韓駭客Konni瞄準俄羅斯政府進行APT入侵攻擊