TeamT5近期掌握到一針對俄羅斯外交部的攻擊事件，根據其中的後門程式內容，據信是來自於北韓駭客組織Konni的攻擊行動。該事件中，駭客利用恭賀2022新年為主題的賀卡，寄送魚叉式惡意郵件，若使用者開啟並執行郵件附檔，使用者電腦將會被植入後門程式Sanny，並連線至惡意中繼站，讓駭客長期且持續地控制使用者電腦。

關鍵字：APT、Konni、Sanny、North Korea、Russia

TeamT5近日取得一惡意魚叉式電子郵件，駭客偽冒成俄羅斯駐塞爾維亞大使館人員，並向其同事祝賀新年，其收件者包含俄羅斯外交部副部長。郵件內容與螢幕保護程式詳見下圖。

圖1:惡意郵件內文

圖2:螢幕保護程式畫面

信件中的附檔經過解壓縮後會得到螢幕保護程式поздравление.scr，執行後將會出現螢幕保護程式並連線至中繼站 i758769.atwebpages.com，下載惡意Payload並透過Base64演算法取得惡意CAB檔案。

惡意CAB檔案執行後會產生三個檔案，分別為安裝檔Installer.bat、後門程式scrnsvc.dll與組態設定檔scrnsvc.ini。當後門程式順利運作時，會連線至中繼站供駭客連線控制使用。詳細攻擊流程詳見下圖。

圖3:攻擊行動示意圖

後門程式scrnsvc.dll與TeamT5的研究情資交叉比對後，持高度信心與北韓駭客組織Konni慣用之後門程式家族Sanny有關。

Installer.bat為批次檔案，其主要用途是將當前目錄下的scrnsvc.dll和scrnsvc.ini複製到 %windir%\System32\ 路徑下。將scrnsvc.dll註冊為scrnsvc服務（ScreenSaver Management Service），並刪除當前目錄的所有檔案，其中包含不存在的檔案wpnprv.dll。

圖4: Installer.bat內容

scrnsvc.dll為PE檔案，其檔案編譯時間為UTC 2021-12-20 08:02:38，因此相信是駭客因此次攻擊行動刻意編譯而成的後門程式。

當scrnsvc.dll被註冊為scrnsvc服務後，每當電腦開機將會透過系統程式services.exe帶起scrnsvc服務。scrnsvc.dll會使用服務名稱的SHA256雜湊值作為AES金鑰（CTR mode）來解密寫死（Hard Code）的惡意Payload，Payload包含需重建的導入位置表IAT（Import Address Table）。經過分析，發現連線中繼站的URL位址分別具有upload（up.php）、download（dn.php）和delete（del.php）功能，但並未看到與delete功能相關的程式碼，推測未來後門程式Sanny將會持續進化擴充功能。如下圖所示。

圖5: 連線中繼站URL中包含upload、download和delete

後門程式scrnsvc.dll執行後，會先向中繼站i758769.atwebpages.com取得新的組態設定檔。經過解密分析後，新的中繼站位址分別為 455686.c1.biz 與 h378576.atwebpages.com 。連線至新中繼站後，會將unicode UFT-8格式的值65001寫至Console Codepage的註冊機碼當中，後續透過systeminfo、tasklist等指令，蒐集受害主機資料並加密封裝成CAB檔案，回傳至中繼站 http://<C2 domain>/up.php?name=<computer_name> 上，且預期中繼站回傳 success!。如下圖所示。

圖6:利用systeminfo、tasklis蒐集受害主機資料

圖7:回傳受害主機資訊並預設中繼站接收成功

收到success後，會向中繼站 http://<C2 domain>/dn.php?name=<computer_name>&prefix=cc(0)下載CAB檔案。解密CAB檔案後，會將惡意指令透過CreateProcessAsUserW或CreateProcessW執行。與此之後，都是向中繼站 http://<C2 domain>/dn.php?name=<computer_name>&prefix=tt 下載新的CAB檔案並解密執行。如下圖所示。

圖8: 向中繼站下載控制指令的CAB檔案回來解密執行

建議將下表的IoC威脅入侵指標匯入環境中的資安防禦設備。

*首圖來源：Pixabay