团伙背景

Konni最开始是Cisco Talos团队于2017年披露的一类远控木马，活动时间可追溯到2014年，攻击目标涉及俄罗斯、韩国地区。2018年，Palo Alto发现该类恶意软件与APT37（别名Reaper、Group123、Scarcruft）有关的木马NOKKI存在一些关联。2019年起，韩国安全厂商ESTsecurity将Konni单独作为疑似具有东亚背景的APT组织进行报告和披露，并发现该组织与Kimsuky有一定联系。

事件概述

近期奇安信威胁情报中心发现以虚拟货币行业监管条例和法律文档为诱饵的攻击样本，疑似针对韩国地区的虚拟货币行业参与者。Zip压缩包中包含两个文件，其中一个为正常文档，另一个是伪装为文档的LNK（快捷方式）文件。

如果受害者因为试图查看文档内容而点击LNK文件，LNK文件将暗中释放并执行一系列恶意脚本，收集受害者信息回传C2服务器，同时从C2服务器下载AutoIt恶意软件。根据攻击者使用的攻击手法和恶意代码的特点，我们将此次攻击活动归为Konni组织。

详细分析

攻击者借助伪装成文档的LNK文件展开的攻击流程如下。

LNK文件

LNK文件执行powershell代码。

去混淆后代码如下，从LNK文件中提取出诱饵文档和CAB文件的数据。与Konni组织之前LNK攻击样本略有不同的是，提取文件数据时增加了单字节异或解密的步骤。

释放的诱饵文档与LNK文件同名，打开后迷惑受害者。

同时LNK文件还会暗中释放CAB文件，解压到”%PUBLIC%\documents”目录后执行其中的start.vbs脚本。CAB文件包含的内容如下。

VBS & BAT脚本

CAB文件中的VBS和BAT脚本为Konni组织常用的恶意代码组合，各脚本的作用分别如下。

当36980785.bat脚本的第三个参数不为”0”时，对URL参数（字符”?”后的内容）进行RC4加密，使用的key为当前时间戳对应的字符串。95060869.bat和42736915.bat调用该脚本时，均使用加密模式，因此在实际网络流量中看不到脚本代码中出现的明文参数。

14886621.bat同样以当前时间戳对应的字符串为key，对上传文件的数据和文件名进行RC4加密。如果上传操作成功则删除原文件，并留下upok.txt文件作为标记。

AutoIt恶意软件

攻击者通过hxxp://settlors[.]com/get.php继续向受害者设备投递带有AutoIt恶意脚本的ZIP压缩包。根据压缩包中的文件修改时间，恶意脚本cdp.au3很可能在2023年12月就已经投入使用。

95060869.bat在解压ZIP压缩包后，先执行其中的1.bat脚本。

1.bat首先将压缩包中的其他文件移动到”%PUBLIC%\058ed324”目录下。接着设置注册表"HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders"的"Startup"值，指向新创建的目录"%SystemDrive%\ProgramData\Startup"，以绕过安全软件对默认Startup目录的检测。然后在该目录下释放update.vbs文件建立持久化。

update.vbs通过注册表"HKCU\Software\Microsoft\Internet Explorer\Main"对IE进行设置，再运行压缩包中的start.bat。而start.bat直接调用AutoIt.exe运行AutoIt脚本cdp.au3。

cdp.au3为经过编译的AutoIt脚本，文件前面添加了大量无效数据用以干扰检测。

cdp.au3脚本通过创建互斥量（"Global\25DF74BF-B13F-83D4-E3BA-A3C35D1009FE"）保证只有单个实例运行。然后收集各类信息，包括用户账号是否为管理员、操作系统版本、杀毒软件名称、用户名、主机名。检测的杀毒软件涉及韩国安全厂商Ahnlab和ESTsoft。

借助getserverurl函数从cdp.au3脚本同目录下的配置文件setting.ini获取C&C服务器URL，并在后面添加随机字符串组成的URL参数。

备用C&C服务器URL使用DGA生成。

在与C&C服务器的通信循环中，cdp.au3脚本向上述URL回传收集的信息，解析C&C返回的响应数据，以””和””为标记符提取出待执行的指令，然后交给processtask函数处理。

Processtask函数从指定URL下载后续载荷并执行，支持的文件类型包括二进制文件（EXE、DLL）和脚本文件（BAT、Powershell、VBS）。

cdp.au3脚本与C&C服务器的通信数据格式如下，由于服务器下发的后续指令为空，因此暂时无法进一步分析攻击者接下来的行为。

溯源关联

根据LNK文件特征，我们关联到Konni组织此次攻击活动所用的其他样本。

两个样本释放的诱饵文档相似，内容均为“个人信息收集和使用协议”，但分别模仿了韩国虚拟货币行业的两家企业（coinone和UPbit）。其中第二个样本也在安全厂商Genians不久前的报告[1]中披露。

Konni组织此次攻击活动使用的AutoIt恶意软件在韩国安全厂商Ahnlab去年12月发布的报告[2]中有提及，为AutoIt版本的Amadey恶意软件。该安全厂商将Konni组织合并为Kimsuky组织进行追踪。

总结

随着近年来虚拟货币行业热度不减，不少网络犯罪团伙和攻击组织也将目光投向此处，意图攻击行业参与人员以窃取经济利益，Konni组织发起的此次攻击行动就是其中一个例子。该组织不再局限于对政府机构机密信息的刺探，直接将常用攻击手段迁移到虚拟货币行业，围猎缺乏警惕意识的受害者。

防护建议

谨防钓鱼攻击，切勿打开社交媒体分享的来历不明的链接，不点击执行未知来源的邮件附件，不运行标题夸张的未知文件，不安装非正规途径来源的APP。做到及时备份重要文件，更新安装补丁。

IOC

MD5

e9db0e7aeb35758c6512d692e938178a

ff44068ba6ed88e5391452cffb0983be

7ee77ecd79b69a082750327b5750e6e4

64fbf63d29cb7e8d813702a2beeee856 (解压密码”a0”)

1aac6272dd9b6d05fa256a89677e90b5

655893b1641565f8ea04da4d74116b8a

C&C

settlors[.]com

oryzanine[.]com

nasions[.]com

shakuss[.]com

goosess[.]com

stuckss[.]com

URL

hxxp://settlors[.]com/get.php

hxxp://settlors[.]com/upload.php

hxxp://settlors[.]com/list.php

hxxp://oryzanine[.]com/index.php

hxxps://nasions[.]com/v1/read/get.php

hxxp://shakuss[.]com/upload.php

hxxp://shakuss[.]com/list.php

hxxps://goosess[.]com/read/get.php

hxxp://stuckss[.]com/upload.php

hxxp://stuckss[.]com/list.php

参考链接

[1].https://www.genians.co.kr/blog/threat_intelligence/bitcoin

[2].https://asec.ahnlab.com/en/59590/