恶意代码分析-网络钓鱼攻击
1. Kimsuky最新攻击活动概述
自2022年11月以来,安天移动威胁情报团队发现了多起冒充Naver客服中心的钓鱼邮件,邮件中包含恶意URL。发件人的用户名是“Naver Center”,邮件主要内容为联系人变更通知、新建一次性号码通知、异地登录通知、邮箱容量超出通知、连接尝试阻止通知等,攻击对象为普通民众。
通过对攻击者使用的域名和钓鱼邮件的攻击手法进行分析,判断此为Kimsuky组织冒充韩国著名金融应用程序,发起新一轮的网络钓鱼攻击。
2. 仿冒Naver的钓鱼邮件溯源
经过溯源分析,发现仿冒Naver的钓鱼邮件如下图所示:
点击邮件中的“前往验证您的手机号码”链接,会跳转访问一个仿冒 Naver 的登录界面,如果用户在该页面输入账户信息,用户账户数据将被泄露给攻击者,这是攻击者设置的第一道攻击。
除了仿冒Naver的钓鱼邮件外,还有大量针对金融领域进行攻击的钓鱼邮件。邮件内链接跳转的页面针对移动设备进行了优化,可在移动设备访问时查看到,不同的金融APP界面。
恶意APP下载页面包含“APP下载”或“填写申请”按钮,点击则下载恶意应用程序。
此类应用程序冒充金融机构,安装了该应用程序的终端在拨打电话时将会拦截特定号码,并将其替换为攻击者预置的语音。
3. 仿冒韩资产管理公司KAMCO样本分析
样本基本情况
本文将以仿冒韩国资产管理公司(KAMCO)的样本为例进行分析。
在该样本的资源文件解密出两个恶意子包,APP名称均为AhnLab V3 Mobile Plus,不同的是其中一个的versionName为"02.09.18"(检出病毒家族为Fakecalls.a),另一个为"temp"(该样本无实际恶意功能),如下表所示:
KAMCO样本分析
样本启动后将会申请读取文件权限和安装未知应用权限。授权后,应用会自动跳转到安装界面,安装temp版的AhnLab V3 Mobile Plus APP,安装后将启动该APP。
应用安装完成回到主界面,其界面中的按钮大多数没有实际功能,最后一个菜单会有一个填写内容的表单,翻译后如下图,经测试填写任意内容后点击按钮将会启动AhnLab APP。
分析代码,发现两个JavaScript回调方法,其中showToast用于接收受害者在APP上填写的信息并启动恶意模块上传数据,updateAPK方法用于触发安装指定版本恶意模块。
判断是否安装恶意功能模块,当没有安装时将会首先解密wa.dat进行安装(temp版),若已安装temp版则解密ma.dat安装具有恶意功能的版本。
代码中可发现攻击者设置根据获取到的版本值启动不同的应用, 当安装了具有恶意功能的AhnLab时将会在intent中携带一些参数启动AhnLab,用于执行恶意功能,如下图所示。参数中包含app的更新时间,C2端口,当前APP仿冒的银行名称,apk类型,C2的IP地址, FTP用户名和密码,设备标识,受害者在app中填写的申请信息。
AhnLab V3 Mobile Plus样本分析
经对比分析发现,两个AhnLab V3 Mobile Plus恶意子包中,恶意版的AhnLab申请的敏感权限主要有定位、接听来电、相机、处理拨出电话、读写通话记录、联系人、外部存储、读取和发送短信、录音等。
“Temp”版实际上并未使用到这些权限,仅使用了忽略电池优化。
恶意版存在多个恶意服务用于接收系统广播执行恶意功能,监控用户设备:
具有恶意功能的样本在被启动时,首先需要进行授予显示在其它应用的上层的权限,如下图:
随后又将会请求读写通讯录、拨打电话、读写通话记录、短信、读取通知等权限,授权完成后,应用将无任何界面,但其恶意服务已在后台运行。
将资源文件中的rc.mp3解密到应用数据目录下的cache/res.dat文件,最后将其解压出来,代码和解密结果如下图,在该压缩包中存放的是音频文件,经分析当受害者拨打指定电话时拦截原始通话,该木马会播放预先录制的音频,模仿银行的标准问候语。
当受害者打电话给银行或其它金融机构时,该木马将会悄悄地挂断电话并将通话界面替换成自己仿冒的通话界面,并播放对应银行的提示音。
C2已失活无法获取到需要拦截的电话名单,如下图为Fakecall相关情报中的虚假通话界面截图,可以明显发现的是界面中的文本均为韩文,当系统语言为非韩文时会很明显看出。
分析代码发现使用socket协议连接到C2服务器,下发指令更新拦截电话号码的黑白名单,同时会返回对应的提示音文件的索引。还会根据指令获取指定目录文件列表、上传设备上所有媒体资源文件、上传指定路径文件、删除指定文件:
除此之外,还会下发卸载指定APP,后台录音,获取位置信息等指令。同时,攻击者使用rtmp协议,可实时传输设备的音频和摄像头画面,且能选择不同的摄像头:
数据回传服务器溯源
样本代码中存在硬编码的CC目前已失活,无法获取到受害者数据,CC的IP为206.233.240.134位于香港,下表为该CC使用的服务端口:
该样本使用的指令列表及其功能如下:
溯源发现仿冒韩国资产管理公司(KAMCO)的钓鱼网页:http://kamco.kbloan.r-e.kr(现已失活),其跳转地址可查看到攻击者上传的最新样本,打开的页面如下图所示,最近一次更新时间为2023.2.14。
对样本的分发服务器进行溯源取证,发现同C段ip:156.224.140.2 - 156.224.140.62均为攻击者的资产,均有相同的/Yeg22fsf34/app5/目录,156.224.140.1为华为的局域网交换机。
4. 总结与建议
由于溯源域名指向的服务器大多已失活,本次分析过程中仅获取到了仿冒韩国资产管理公司(KAMCO)的样本,猜测Kimsuky仿冒的其它金融应用程序的恶意功能与该样本是一致的。
经过对获取到的KAMCO样本进行分析,发现该样本是作为主包存在实际上并不具备恶意功能,恶意功能的实现在其释放的子包中。它在运行过程中会从资源文件中解密释放出仿冒的韩国著名杀毒软件AhnLab(安博士)让用户安装,此时安装的样本为temp版无恶意功能。随后KAMCO会调用更新方法释放具有恶意功能的AhnLab(检出病毒名为: Fakecalls.a)让用户安装,安装完成后KAMCO会唤起该恶意程序请求一系列权限,授权后将会持续在后台运行,并将窃取到的用户数据以FTP的形式上传到后台服务器。当受害者拨打对应金融机构的电话时将会被该程序直接挂断替换为仿冒的通话界面播放预置的提示音,最终达到欺骗受害者的目的。
建 议
不要阅读未知来源的电子邮件或短信;
不要随意点击陌生的链接;
不要安装未知来源应用。
【附录】IOC
ip
· 139.99.89[.]153
· 172.104.112[.]214
· 210.16.120[.]212
· 156.224.140.[2-62]
url
· hxxp://156.224.140.13/Yeg22fsf34/app5/
· hxxp://conf.simpleedit.n-e[.]kr
· hxxp://foward.viewpropile.p-e[.]kr
· hxxp://dashboard.quikveoriy.o-r[.]kr
· hxxp://www1.quickedit.o-r[.]kr
· hxxp://www2.configment.p-e[.]kr
· hxxp://wvw3.secure-edit.n-e[.]kr
· hxxp://wwv3.supports.o-r[.]kr
· hxxp://wvw1.user2list.kro[.]kr
· hxxp://shinhanbank.kro[.]kr
· hxxp://smartshinhan.kro[.]kr
· hxxp://tos.p-e[.]kr
· hxxp://kbank.o-r[.]kr
· hxxp://k-bank1.kro[.]kr
· hxxp://kamco.kbloan.r-e[.]kr
· hxxp://kakaosaving.kro[.]kr
· hxxp://naver.o-r[.]kr
· hxxp://naver.kro[.]kr
· hxxp://naver65.n-e[.]kr
· hxxp://digital.pepperbank.kro[.]kr
· hxxp://inglife.kro[.]kr
· hxxp://nhlife.kro[.]kr
· hxxp://kamco.kbloan.kro[.]kr
· hxxp://kamco.webs.kro[.]kr
· hxxp://k-bank.o-r[.]kr
· hxxp://k-bank1.kro[.]kr
· hxxp://heungkukfire.p-e[.]kr
apk
· C98DB8E7F02624268D74AC0D16CA0E3B
· 6632613B3378619ADA0EA1A50EFD6075
· 7941FD071A42858E17615B518BFED671
本文采用 署名-非商业性使用-相同方式共享 4.0 国际 许可协议,转载请注明出处。
