国庆节快乐
披露时间:2018.10.1
APT组织:Reaper(Group123,apt37)
该组织特定使用的与本次事件相关恶意软件家族:DOGCALL
新公开恶意dropper家族:Final1stspy
pa详细对前些日 (
主要内容:
分析人员在对NOKKI的系列攻击进行分析途中,发现了一个恶意宏文档,该文档使用了一种不同寻常的方法,它首先将base64编码的文本转换为十六进制,然后将该十六进制转换为文本字符串。
如下所示
具体对应的转换函数,还有恶意软件作者的注释
紧接着,通过反向搜索,发现了类似的样本,样本中含有朝鲜相关的诱导性语句,语句来自公开新闻(http://www.thedrive.com/the-war-zone/21430/procession-of-chinese-and-north-korean-jets-have-airlifted-kim-and-company-to-singapore)
hash:
e02024f38dfb6290ce0d693539a285a9
文件名:(世界杯预测)
World Cup predictions.doc
这个世界杯预测的样本首先下载vb文件,文件中也含有该转换编码的函数
http://kmbr1.nitesbr1.org/UserFiles/File/image/home.html
最后通过执行vb脚本,会下载一个DLL和一个可执行文件,也就是他们所称的Final1stspy恶意软件
GET请求包如下,具体指令的解释请阅读原文
该恶意软件最后向C&C服务器请求Payload,最后使用0x49的单字节XOR密钥进行解密后会释放DOGCALL木马也就是reaper组织专用木马。
因此,综上所述,在不排除恶意软件作者故意搞事的情况下,NOKKI和DOGCALL还是存在关联性的。
同时,也祝贺又找到了reaper组织的新Dropper,Final1stspy。
IOC
World Cup predictions Sample
66a0c294ee8f3507d723a376065798631906128ce79bd6dfd8f025eda6b75e51
Final1stspy Samples
0669c71740134323793429d10518576b42941f9eee0def6057ed9a4ba87a3a9a
fb94a5e30de7afd1d9072ccedd90a249374f687f16170e1986d6fd43c143fb3a
DOGCALL Samples
3fee068bf90ffbeb25549eb52be0456609b1decfe91cda1967eb068ef2c8918f
Infrastructure
kmbr1.nitesbr1[.]org
相关链接(或点击原文链接):
https://researchcenter.paloaltonetworks.com/2018/10/unit42-nokki-almost-ties-the-knot-with-dogcall-reaper-group-uses-new-malware-to-deploy-rat/