Palo Alto Networks的研究人员近期发布了一篇关于NOKKI恶意软件的报告,报告表示NOKKI和新发现的KONNI恶意软件共用代码。尽管在此报告中没有说明,NOKKI还与KimJongRAT木马共享代码(该木马由Cisco Talos的Paul Rascagnères于2013年发现)。在Palo Alto的另一份报告中,还公布了NOKKI与朝鲜攻击者APT37(又称收割者或Group123)的关联。
与NOKKI关联的恶意文档会利用VBScript,下载一个新发现的名为Final1stspy的恶意软件,该名称是由程序内部的PDB字符串得来的。据Palo Alto Networks指出,Final1stspy带有2个组件,其中名为“LoadDLL”的exe文件,其唯一目的就是加载一个名为“hadowexecute”的DLL payload。在收集完受感染机器的信息后,一个名为“DOGCALL”(又称ROKRAT)的恶意软件会被下载,作为最终payload,这也成为NOKKI和APT37的关联点之一。
代码复用的关联信息
报告中所列出的Hash并不能在VirusTotal上查询到该DLL payload组件的信息,于是我们根据“LoadDll”的代码创建了一些YARA标识符,并通过VirusTotal的Hunting功能进行匹配查询。由于exe组件和DLL共用代码,通过YARA匹配,我们找到了Final1stspy的一个早期版本的DLL组件,检测结果为2/67,编译时间戳为2018年5月21日,首次上传日期为2018年6月11日,这是一个早于Palo Alto报告中的版本。在获取到“hadowexecute”DLL组件后,我们利用Intezer Analyze™系统来查看其中是否有代码复用。
我们发现,在Final1stspy的exe组件和此前FreeMilk攻击行动中的部分代码之间,存在代码共用,而FreeMilk行动中使用了ROKRAT。让我们观察ROKRAT和Final1stspy的代码共用部分,在IDA中对比这些函数,你会发现它们之间有完全相同的匹配。
这个函数仅在Group123组织的ROKRAT和Final1stspy的DLL组件中出现过,该函数的功能是收集系统信息并以相同格式保存。
结论
Group123作为这些恶意软件攻击者的证据不仅仅体现在最终payload上,也体现在代码本身。代码复用也为KimJongRAT, KONNI, NOKKI, Final1stspy, ROKRAT和APT37之间的关联提供了更多证据。
IOCs
Final1stspy
2011b9aa61d280ca9397398434af94ec26ddb6ab51f5db269f1799b46cf65a76 (DLL)
0669c71740134323793429d10518576b42941f9eee0def6057ed9a4ba87a3a9a (DLL)
fb94a5e30de7afd1d9072ccedd90a249374f687f16170e1986d6fd43c143fb3a (EXE)
Group 123 (FreeMilk / ROKRAT Samples)
99c1b4887d96cb94f32b280c1039b3a7e39ad996859ffa6dd011cf3cca4f1ba5
01045aeea5198cbc893066d7e496f1362c56a154f093d1a8107cecad8d4e4df2
26ad5f8889d10dc45dcf1d3c626416eb604f5fe4a7268e044f17a3ab6ff14e53
65ec544841dbe666d20de086495158128ddffb8b076ddb801a3f2dc250481135
7f35521cdbaa4e86143656ff9c52cef8d1e5e5f8245860c205364138f82c54df
ef40f7ddff404d1193e025081780e32f88883fa4dd496f4189084d772a435cb2
596
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
