#供应链攻击# Red Signature 行动,目标韩国

释放双眼,带上耳机,听听看~!

#供应链攻击#  Red Signature 行动,目标韩国

来自趋势

攻击发生在7月底左右

    在Red Signature 行动中,攻击者入侵了远程支持解决方案提供商的更新服务器,并通过更新过程将名为9002 RAT的远控交付给他们想要攻击的目标。

    他们首先偷了该公司的证书,然后用它来签署恶意软件。他们还将更新服务器配置为仅在客户端位于指定的攻击目标的IP地址范围内,才进行恶意文件分发。

攻击链

流程如上图所示

    该证书可能早在2018年4月就被盗了,因为在4月8日研究人员发现了一个ShiftDoor恶意软件(4ae4aed210f2b4f75bdb855f6a511e625d56de2),该软件是用被盗证书签署的。

    当用户访问更新服务器时候,攻击者会将update.zip通过攻击者的服务器207.148[.]94.157进行分发。其中zip中包含update.ini文件,该文件具有指定要下载的远程支持解决方案程序的恶意更新配置。

(207.148.94[.]157/update/rcv50/file000.zip

207.148.94[.]157/update/rcv50/file001.zip)

file000.zip和file001.zip被提取为rcview40u.dll和rcview.log到安装文件夹下。

   此时的rcview40u.dll已经用被窃证书进行了签名,其主要用于对rcview.log进行解密。

   最后会解出9002远控木马。

————————————————————

9002远控分析

    研究人员通过代码编译时间,文件创建日期和落地时间判定远控活动时间大概从7月18日到7月31日。

9002远控到2018年8月份会进入休眠状态

该远控会释放或下载(66.42.37.101)一个iis6漏洞利用工具CVE-2017-7269,一个用来dump sql数据库密码的工具等等,下列工具大多被打包在中cab文件。

具体下载工具列表

其中printdat.dll是plugx远控,回连C&C:

66.42.37.101

手机编辑真麻烦,格式丑,见谅

相关链接

https://blog.trendmicro.com/trendlabs-security-intelligence/supply-chain-attack-operation-red-signature-targets-south-korean-organizations/

附录

0703a917aaa0630ae1860fb5fb1f64f3cfb4ea8c57eac71c2b0a407b738c4e19 (ShiftDoor) — detected by Trend Micro as BKDR_SETHC.D

c14ea9b81f782ba36ae3ea450c2850642983814a0f4dc0ea4888038466839c1e (aio.exe) — HKTL_DELOG

a3a1b1cf29a8f38d05b4292524c3496cb28f78d995dfb0a9aef7b2f949ac278b (m.exe) — HKTL_MIMIKATZ

9415ca80c51b2409a88e26a9eb3464db636c2e27f9c61e247d15254e6fbb31eb (printdat.dll) — TSPY_KORPLUG.AN

52374f68d1e43f1ca6cd04e5816999ba45c4e42eb0641874be25808c9fe15005 (rcview.log) — TROJ_SIDELOADR.ENC

bcfacc1ad5686aee3a9d8940e46d32af62f8e1cd1631653795778736b67b6d6e (rcview40u.dll) — TROJ_SIDELOADR.A

279cf1773903b7a5de63897d55268aa967a87f915a07924c574e42c9ed12de30 (sharphound.exe) — HKTL_BLOODHOUND

e5029808f78ec4a079e889e5823ee298edab34013e50a47c279b6dc4d57b1ffc (ssms.exe) — HKTL_PASSDUMP

e530e16d5756cdc2862b4c9411ac3bb3b113bc87344139b4bfa2c35cd816e518 (w.exe) — TROJ_CVE20177269.MOX

28c5a6aefcc57e2862ea16f5f2ecb1e7df84b68e98e5814533262595b237917d (Web.exe) — HKTL_BROWSERPASSVIEW.GA

URLs related to the malicious update file:

hxxp://207.148.94[.]157/update/rcv50/update.zip

hxxp://207.148.94[.]157/update/rcv50/file000.zip

hxxp://207.148.94[.]157/update/rcv50/file001.zip

URLs related to additionally downloaded malicious files:

hxxp://207[.]148[.]94[.]157/aio.exe

hxxp://207[.]148[.]94[.]157/smb.exe

hxxp://207[.]148[.]94[.]157/m.ex_

hxxp://207[.]148[.]94[.]157/w

hxxp://207[.]148[.]94[.]157/Web.ex_

 Related C&C server (9002 RAT and PlugX variant):

66[.]42[.]37[.]101

本文源自微信公众号:黑鸟

人已赞赏
安全工具

普京绯闻女友生双胞胎,无数俄罗斯安全局人员“陪产”

2019-10-16 10:47:19

安全工具

窃取KeyChain的MacOS漏洞EXP公开后,再爆可绕过Mac安全警告漏洞

2019-10-16 10:47:27

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索