当前位置：首页 > article >正文

观成科技：寄生虫（APT-C-68）APT组织加密通信分析

article 2024/12/4 10:24:46

1.概述

东北亚方向代表性APT（高级持续性威胁）组织包括Darkhotel、寄生虫（APT-C-68）、伪猎者（APT-C-60）、旺刺（APT-Q-14）和虎木槿（APT-Q-11）等。这些组织通过鱼叉钓鱼邮件、水坑攻击以及0Day漏洞等手段，对政府机构、科研单位、军工企业、贸易和文化交流相关单位以及关键基础设施进行长期的网络攻击活动，目的在于窃取机密数据和敏感信息。

2023年至今，寄生虫组织的活动尤为频繁，且已多次对政府机关和高校展开攻击。这些攻击中使用了多种攻击武器，包括开源工具和自研恶意软件。攻击过程中，寄生虫组织通过HTTP和HTTPS协议与C&C服务器进行通信。通信数据通常经过XOR算法进行加密，虽然加密方式相对简单，但仍能在一定程度上对通信数据进行保护，增加检测难度。

观成瞰云（ENS）-加密威胁智能检测系统能够对寄生虫组织使用的多款攻击武器进行有效检出。

2.APT-C-68 寄生虫组织技战法

寄生虫组织是针对朝鲜和中国大陆的高级持续威胁（APT）组织，最早发现于2022年，但其攻击活动可以追溯到2021年7月。该组织擅长利用钓鱼邮件、水坑攻击、社会工程学和0Day漏洞等方式渗透目标网络并进行信息窃取。其主要攻击对象为朝鲜和中国大陆的政府机构、科研单位及军事企业。2023年该组织利用chm文件进行恶意载荷投递，攻击我国某军工背景企业，并通过某终端防护软件漏洞进一步部署恶意载荷[1]。同年，该组织集中利用某行业软件0Day漏洞攻击我国科研、国防军工相关单位[1]。2024年，该组织利用MSF木马攻击了我国某高校。

表 1 寄生虫组织技战法总结

攻击意图	攻击朝鲜和中国的政府机构、科研单位及军事企业等，开展窃密活动；攻击IoT设备作为跳板。
攻击方式	使用0Day漏洞、钓鱼邮件、水坑攻击。
通信方式	多通道加密通信，同时采用HTTP和TLS两种协议进行通信。
攻击工具	使用自研木马和开源木马。
影响范围	Windows和Linux。
行为隐匿	利用“白+黑”的方式执行木马；利用MSI文件的Custom Action表执行恶意代码。

2.1攻击过程

寄生虫组织在2023年某次攻击活动中使用的恶意CHM文件执行后，会在C:\\ProgramData\\NVIDIA_Exp路径下释放html文件、多个脚本文件和dll文件。html文件会调用asolfopjte.dat脚本文件，asolfopjte.dat脚本文件通过windows应用程序pcalua.exe执行agnedjjiei.dat脚本文件建立持久化机制，并通过白加黑的方式加载恶意nvaudcap64v.dll。

各个文件执行过程如下图所示。

图 1 2023年某次攻击过程

各个文件执行后的操作如下表所示。

表 2 各个文件对应功能

文件名	功能
jhzgqnnbjc.html	执行脚本文件wkjpcovsat.dat
wkjpcovsat.dat	从http://IP/img2160.jpg下载文件，载入脚本文件arbkwpyqeu.dat、asolfopjte.dat和agnedjjiei.dat
arbkwpyqeu.dat	创建计划任务“HTML Help task”,执行hh.exe
asolfopjte.dat	通过windows应用程序pcalua.exe执行脚本agnedjjiei.dat，执行参数492201
agnedjjiei.dat	创建计划任务“NVIDA nvspcaps Task”，执行nvspcaps64.exe
nvspcaps64.exe	白文件，调用nvaudcap64v.dll
nvaudcap64v.dll	调用其他3个恶意dll
cudart64_55.dll	文件删除、文件读取、文件写入、数据加密、数据解密
d3dx9_43.dll	与服务器进行通信
gamecaster64.dll	获取进程列表

2024年针对某高校的攻击活动中，寄生虫组织继续采用“白+黑”的方式在内存中执行MSF木马。

图 2 2024年针对某高校攻击过程

2.2加密通信分析

Nvida木马

Nvida木马是寄生虫组织在2023年使用的一款自研木马，该木马具备灵活的通信机制，通过HTTP和TLS两种协议与C&C服务器进行通信。当TLS协议连接失败时，木马会自动切换到HTTP协议，确保通信的稳定性和持续性。

Nvidia木马会获取进程列表，与样本执行参数进行拼接，拼接后的数据使用XOR算法进行加密，密钥为“37 EC 69 32 EB FC 9F 59 FB D8 F6 A3 52 6B 9A DA 18 9E B7 08”。

图 3 收集进程列表

图 4 Nvida木马上线包

服务器接收到进程信息后，进行响应，响应体中4~8字节值为硬编码在样本中的：0x15792358。

图 5 服务器响应

2.MSF木马

Metasploit(MSF)是一个开源的渗透测试框架，包含多个核心组件，如Exploit（攻击模块）、Payload（载荷模块）、Auxiliary（辅助模块）和Encoder（编码器），这些组件分别负责漏洞利用、执行攻击代码、信息收集和混淆攻击代码以规避检测。寄生虫组织在2024年攻击某高校的活动中使用了魔改版的MSF，和正常MSF木马相比，有3处不同。

表 3 正常MSF和寄生虫魔改MSF对比

序号	正常MSF木马	寄生虫魔改MSF木马
1	首次GET请求URI由程序生成	首次GET请求URI硬编码在样本中
2	首次GET请求服务器返回PE文件	首次GET请求服务器返回URI
3	服务端返回RSA公钥，客户端加密AES密钥后发送给服务器，使用XOR+AES对通信数据进行加密	服务端返回RSA公钥，使用XOR算法对通信数据进行加密。

图 6 正常MSF HTTPS请求URI

图 7 魔改MSF木马请求URI

寄生虫魔改版MSF木马在与C&C服务器通信时，采用了TLS协议进行数据传输，并使用XOR算法对通信数据进行加密，其中密钥为数据的前4个字节，下图中密钥为“2b ac ca e3”。每次上线服务器都会返回不同的URI地址。

图8 服务器返回的新URI（TLS解密后）

在MSF6通信中，客户端接收到服务器返回的RSA公钥后，会使用RSA公钥加密生成的AES密钥，并将其发送给服务器，随后通过AES算法加密通信数据。然而，魔改版MSF木马在收到RSA公钥并加密AES密钥发送给服务器后，尽管按预期进行了一次密钥交换，但在后续的数据传输中并未使用AES加密。相反，数据仍然通过XOR算法进行加密，因此通信数据可以直接通过XOR算法解密。

图 9 解密出的RSA公钥

魔改MSF木马发送GET请求后，服务器返回的数据中包含了控制指令，当魔改MSF木马接收到控制指令后，会先发送一个GET请求，随后再通过POST请求发送控制指令执行结果。C&C服务器接连向魔改MSF木马发送了“上传程序当前执行目录”、“上传路由表信息”、“上传CPU和网卡信息”、“上传计算机名和系统版本”等多个控制指令。

图10 指令下发和数据回传（TLS解密后）

控制指令0x03F0功能为上传程序当前执行目录。

图11 指令下发（TLS解密后（左）+XOR解密后（右））

图12 数据回传（TLS解密后（左）+XOR解密后（右））

控制指令0x0423功能为上传计算机名和系统版本。

图13 指令下发（TLS解密后（左）+XOR解密后（右））

图14 数据回传（TLS解密后（左）+XOR解密后（右））

3.产品检测

观成瞰云（ENS）-加密威胁智能检测系统能够对寄生虫APT组织使用的多款攻击武器进行有效检出。

图 15 寄生虫魔改MSF木马检出截图

4.总结

东北亚方向APT组织通常采取多阶段的攻击策略，使用0Day漏洞、下载器、加载器、信息收集工具以及远控木马等逐步渗透目标网络。这些组织会利用正常网站服务以及免费云端存储空间来掩盖其活动，从而增加被检测的难度。在攻击实施过程中，通过伪装成国内知名大厂的域名来欺骗受害者，同时会故意错开受害者的工作时间分发恶意载荷，从而降低被及时发现的风险[2]。尽管这些攻击组织在免杀能力上相对较弱[2]，但通过精密的阶段性攻击和有效的伪装策略，它们依然能够成功渗透并控制目标网络，获取最终的敏感信息或数据。观成科技安全研究团队将继续追踪和分析东北亚方向APT组织使用的开源和自研木马，并不断优化检测方法，以适应该方向APT组织变化的加密通信方式，进一步守护加密网络空间的安全。

5.IoC

类型	值
IP	5.252.178.76
文件Hash	aa8b551bcb6e33ba830194ccb6c91c1e5c4ce9e2efc5f7315658e8545d33376f（VT公开样本）
文件Hash	9d11ea9911cb527a53772c001289dcdc69d60c9867028b3cc9881158197a54a9 （VT公开样本）
URL	https://5.252.178.76:8443/sItA0bVWfIdH4UbjIXdXjgyijnSJz