青铜管家(TICK)–针对东亚活动

Tick也被称为Redbaldknight和Bronze Butle,被检测到对韩国和日本的实体发起了各种网络攻击。近日,Talos实验室分析了最近的一系列活动,其中位于韩国和日本的受感染网站被用作属于恶意软件系列的样本的C2服务器,称为“Datper”,它能够在受害计算机上执行shell命令并获取主机名和驱动器信息。Talos发现在恶意软件系列Datper,xxmm后门和Emdivi之间的共享基础架构中找到关联,怀疑是Tick在日韩活动。

Talos分析师认为:TICK组织主要在韩国和日本部署和管理他们的C2基础设施。该组织定期更改其C2基础设施,并且有识别和渗透位于这些国家的易受攻击网站。Talos还发现了被用作C&C服务器的主机,尽管它们没有连接到受感染的网站。这表明黑客最初在合法获得(可能购买)的主机上部署了C&C基础设施。

一旦在受感染的机器上,Datper将创建一个互斥对象并从受害者机器检索几条信息,包括系统信息和键盘布局。接下来,恶意软件尝试向C&C服务器发出HTTP GET请求。

一些受到破坏的网站也被用作xxmm后门的C&C域,也称为Murim或Wrim,它之前与威胁行为者相关联,并允许攻击者在受感染的计算机上安装其他恶意工具。使用合法网站C&C观察到2018年3月编译的Datper变体,解析为用于Emdivi恶意软件系列的C&C基础结构的相同IP。这个特洛伊木马在受感染的机器上打开了一个后门,之前归因于“蓝色白蚁”活动背后的威胁组织。

关键信息:

  1. Datper变量创建一个名为gyusbaihysezhrj,17年Datper变种互斥变量d4fy3ykdk2ddssr,关联起一些样本。
  2. whitepia.co.kr,通过分析C2解析IP及其他关联,发现在关联IP中发现其他恶意软件家族——xxmm后门,或者叫做Murim或Wrim 。

    xxmm后门http://www.amamihanahana.com/diary/archives/a_/2/index.php Datper:http://www.amamihanahana .com / contact / contact_php / jcode / set.html

    这两个工具都在其C2基础设施中使用了位于日本的相同网站。PDB路径:

    C:\Users\123\Documents\Visual Studio 2010\Projects\shadowWalker\Release\BypassUacDll.pdbC:\Users\123\Documents\Visual Studio 2010\Projects\shadowWalker\Release\loadSetup.pdbC:\Users\123\documents\visual studio 2010\Projects\xxmm2\Release\test2.pdbC:\Users\123\Desktop\xxmm3\x64\Release\ReflectivLoader.pdb

  3. 2018年3月编译的Datper变种C2解析IP:211.3.196.164,跟“蓝色白蚁”相关。Emdivi恶意软件家族同样解析到这个IP。                                                                                            

IOCs:

Hashes
Datper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xxmm backdoor
397a5e9dc469ff316c2942ba4b503ff9784f2e84e37ce5d234a87762e0077e25

Emdivi
9b8c1830a3b278c2eccb536b5abd39d4033badca2138721d420ab41bb60d8fd2
1df4678d7210a339acf5eb786b4f7f1b31c079365bb99ab8028018fa0e849f2e

IPs used for C&C communication
202[.]218[.]32[.]135
202[.]191[.]118[.]191
110[.]45[.]203[.]133
61[.]106[.]60[.]47
52[.]84[.]186[.]239
111[.]92[.]189[.]19
211[.]13[.]196[.]164

C&C servers resolving to malicious IPs
hxxp://www.oonumaboat[.]com/cx/index.php
hxxp://www.houeikai[.]or.jp/images/ko-ho.gif
hxxp://www.amamihanahana[.]com/contact/contact_php/jcode/set.html
hxxp://www.amamihanahana[.]com/diary/archives/a_/2/index.php
hxxp://rbb.gol-unkai4[.]com/common/include/index-visual/index.htm
hxxp://www.whitepia[.]co.kr/bbs/include/JavaScript.php
hxxp://www.adc-home[.]com/28732.html
hxxp://www.sakuranorei[.]com.com/blog/index.php

相关报告:

https://blog.trendmicro.com/trendlabs-security-intelligence/redbaldknight-bronze-butler-daserf-backdoor-now-using-steganography/

https://blog.jpcert.or.jp/2015/11/emdivi-and-the-rise-of-targeted-attacks-in-japan.html 蓝色白蚁

发表评论

电子邮件地址不会被公开。 必填项已用*标注