APT组织Andariel 发展史介绍(多图预警)

释放双眼,带上耳机,听听看~!

昨天想重点分享一个ppt,试试效果,来自韩国AhnLab(后来没发成功)

下图为所属朝鲜的所有活跃的组织,里面全是比较熟悉的名字

下面开始重点对Andariel组织进行介绍,这个组织我之前也分析过,是lazarus底下专门负责对外国政府进行打击的小分队。

a.著名行动:

MND (2008), DarkSeoul (2013), Operation Black Mine (2014-2015)

b.家族信息:

Malware : Andarat, Andaratm, Bmdoor, GhostRat, Rifdoor, Phandoor (packed with UPX, Themida, VMProtect)

c.该组织的比较出名的活动,窃取各种机密文件 : 


https://www.ibtimes.co.uk/suspects-arrested-south-korea-atm-hacking-probe-aided-by-north-korean-1638293 

https://edition.cnn.com/2017/10/10/politics/north-korea-hackers-us-south-korea-war-plan/index.html

d.组织行动时间线

e.攻击链以及感染向量

f.攻击手段

鱼叉攻击:宏

水坑攻击:Active-X 0 day 

易受攻击的IT管理系统漏洞:投放免杀样本,窃密样本

供应链攻击:Installer, Updater 

g.宏方面如下:

Macro Downloader (2015)

– Attack against Seoul ADEX 2015 Participants MacroDownloader

 Macro Downloader (2017)

– Disguised as diplomatic documents -> intended to activate the Macro by showing blurred text

h.ActiveX方面如下:

i.易受攻击的信息管理系统方面

从下图可以看出,该组织分别从主机开放端口,提供更新服务的系统,需要更新的服务器这机房面进行入侵,进行对这些目标的IT管理系统进行漏洞利用

j.列举这几种 信息管理系统产品漏洞利用

k.攻击链攻击方面

修改安装包文件,

在web服务器上嵌入恶意脚本,用来确认获取IP并确认是否为攻击对象,如果不是列表IP,则不作为攻击目标,从而分发正常的安装包(推测)。

将后门植入升级服务器系统中,点击升级即下载木马

——————————————————————————————————

Andariel组织 2014年到2015年的活动

2014年, Black Mine行动,围绕能源,运输,IT,经济贸易,传媒,政治这几大行业进行攻击。

该行动具体内容见链接。

http://www.ahnlab.com/kr/site/securityinfo/newsletter/magazine.do?letterNo=201511

——————————————————————————————————

2015年到2016年的

这一段详细如下

http://www.koreatimes.co.kr/www/news/nation/2015/11/116_191362.html

一、宏方面:

Attack against Seoul ADEX 2015 Participants (1)

– MacroDownloader

Attack against Seoul ADEX 2015 Participants (1)

-Rifdoordownloade

二、2016年,该组织通过易受攻击的IT管理系统漏洞分发恶意软件

– 160家韩国公司和政府机构的计算机数量超过140,000台

据报道-42,608份文件被泄露

-攻击始于2014年,于2016年2月被发现

下面为详情

http://www.reuters.com/article/us-northkorea-southkorea-cyber-idUSKCN0YZ0BE

—————————————————————————————————

下面为2017年到2018年的攻击情况

一、在赌博网站上窃取其他玩家的屏幕(2016-2017) 【妈耶我是真的没看错么】

– 首先发现于2016年10月

– 通过入侵合法网站并将其替换为恶意文件来修改实用程序安装程序

在牌局中查看其他玩家的牌,Poker games,扑克游戏

二、ATM攻击事件

ATM黑客攻击

总计-230,000张信用卡被泄露(2016年9月〜2017年2月)

– 通过中国,泰国和台湾的ATM取款

-4名嫌疑人被捕→获得了一名中间人的私人财务数据,这名中间人声称他从中获取了信息

朝鲜

– 此攻击中使用的恶意软件与韩国MND黑客中使用的恶意软件非常相似

相关链接http://english.yonhapnews.co.kr/news/2017/09/06/0200000000AEN20170906007600315.html 

http://www.itworld.co.kr/news/106281

样本方面

Phandoor (Deployed May 24, 2017)

-通过金融工人工会网站分发

-Phandoor变种

-移除 ‘anonymous?’ 字符串

Andarat

通过金融工人联盟主页部署

– 每次运行文件时,会通过向文件末尾添加无意义值来更改哈希值

使用宏进行攻击

– Get Macro activation by showing the contents of documents dimly -> Download and create V3 UI.

三、韩国最大的旅行社被黑

-攻击者使用 Report Product A 和 IT Management B 漏洞

-个人信息被盗

相关链接:

https://coinjournal.net/south-koreas-largest-travel-agency-breached-hacker-demands-bitcoin-payment/ 

Press Release _ 180207 _ Ha** Tour -Due to personal information leakage accident -Administrative disposition -Resolution _ final -1.hwp

http://english.yonhapnews.co.kr/search1/2603000000.html?cid=AEN20180201010700315 & http://blog.alyac.co.kr/1527

——————————————————————————————————

恶意代码方面

恶意软件种类

Bmdoor

Gh0st RAT


Phandoor


Andaratm

GhostRat 韩文版本


Zcon.exe

Wiper

_____________________________________________________________

下面是该组织各类样本代码层的关联分析

宏代码相似性

脚本相似性

Xwdoor 和 Phandoor 中存在相同字符

异常相似的进行加密的代码,几次行动中使用的样本进行比较

相似进行编码的代码段,Rifdoor和Phandoor进行比较

关联分析,我只想说这实验室的人都是人才。

最后,相关链接如下

• ’黑矿行动’的秘密

http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_

dist=1&seq=24229

• 攻击国防工业,为什么?

http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist=2&seq

=26565

• 金融安全情报报告_分析针对国内的威胁组织

http://www.fsec.or.kr/user/bbs/fsec/21/13/bbsDataView/910.do)

• Targeted Attacks on Major Industry Sectors in South Korea (CHA Minseok, AVAR 2017)

• 有针对性的攻击? 保护您的中央管理软件

http://image.ahnlab.com/file_upload/asecissue_files/ASEC_REPORT_vol.89.pdf

• 打破一个着名的企业安全系统,攻击一个主要的黑客组织-1

http://blog.skinfosec.com/221234553836 

• 知名企业安全系统的攻击,

http://blog.skinfosec.com/221234742268

• Hana Tour的个人信息泄露……作为受托人开始https://blog.naver.com/secustory/221213258234

从PPT的描述中,可以看出该组织在对各国(包括天朝)都进行了攻击,因此还是需要对其进行深度研究,从而进行防御。

原报告扫码可见,或者加入知识星球哦,为了保持公平,随着人数增加价钱也会一直上调

本文源自微信公众号:黑鸟

人已赞赏
安全工具

1660万人口的厄瓜多尔,2080万公民数据举国泄露

2019-10-16 10:49:18

安全工具

针对中东石油能源工业控制系统的又一网军诞生

2019-10-16 10:49:26

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索