观成科技：伪猎者（APT-C-60）APT组织加密通信分析

    1.概述

    2023年至今，东北亚方向代表性APT（高级持续性威胁）组织伪猎者（APT-C-60）的活动尤为频繁，已多次对政府机关和高校展开攻击。这些攻击中使用了多种攻击武器，包括开源工具和自研恶意软件。攻击过程中，伪猎者组织通过HTTP和HTTPS协议与C&C服务器进行通信。通信数据通常经过XOR算法和Base64编码进行加密，虽然这些加密方式相对简单，但仍能在一定程度上对通信数据进行保护，增加防御难度。

    观成瞰云（ENS）-加密威胁智能检测系统能够对伪猎者组织使用的多款攻击武器进行有效检出。

    2.APT-C-60 伪猎者组织技战法

    伪猎者（APT-C-60）是一个活跃于东北亚地区的高级持续性威胁（APT）组织，首次披露于2021年，但其攻击活动可追溯至2018年。该组织主要通过钓鱼邮件和0Day漏洞等方式入侵目标网络，并实施信息窃取。伪猎者的攻击目标主要集中在朝鲜和中国大陆的政府机关，以及涉及贸易与文化交流的相关单位。该组织具有多套邮件探针技术，用于刺探目标单位和个人使用的邮件客户端版本、办公软件信息等[2]。

    该组织在实施攻击时，常使用LNK下载者进行恶意载荷的分发，且载荷的解密机制在过去两年内保持一致，展现出其高效且稳定的攻击模式。此外，伪猎者还使用了具备键盘记录、凭证盗取等功能的SpyGlace后门工具，旨在长期监控并窃取关键敏感信息[1]。

表 1 伪猎者组织技战法总结

    2.1攻击过程

    2023年，伪猎者组织利用LNK文件下载多个恶意文件，并通过解密脚本解密出多个文件，包括加载器、下载器和痕迹清除工具。具体攻击过程如下图所示。

图 1 伪猎者攻击过程

    2.2加密通信分析

    2023年伪猎者利用LNK文件从不同的服务器下载了3个文件conf.txt、wimserv.txt和pigment.hlp。其中pigment.hlp为Javascript撰写的解密脚本，conf.txt、wimserv.txt均为加密载荷。

图 2 下载解密脚本

    2023年至今加密载荷数据结构共包含如下2种，第二种比第一种新增了2个字符“\\”。

图 3 第一种数据结构

图 4 第二种数据结构

    使用伪猎者自定义编码表进行Base64解密，即可解密出PE文件。自定义编码表由Base64默认编码表异或3生成，具体为“BA@GFEDKJIHONMLSRQPWVUT[ZYba`gfedkjihonmlsrqpwvut{zy32107654;:(,>”。

图 5 加密载荷

图 6 可以解密出两个文件的加密载荷

    2.3持久化

    伪猎者组织通过创建计划任务实现持久化操作。

图 7 创建计划任务

伪猎者组织通过COM组件劫持实现持久化。

表 2 添加注册表项

3.产品检测

观成瞰云（ENS）-加密威胁智能检测系统能够对伪猎者组织使用的多款攻击武器进行有效检出。

图 8 伪猎者NdBB下载者木马检出截图

4.总结

东北亚方向APT组织通常采取多阶段的攻击策略，使用0Day漏洞、下载器、加载器、信息收集工具以及远控木马等逐步渗透目标网络。这些组织会利用正常网站服务以及免费云端存储空间来掩盖其活动，从而增加被检测的难度。在攻击实施过程中，通过伪装成国内知名大厂的域名来欺骗受害者，同时会故意错开受害者的工作时间分发恶意载荷，从而降低被及时发现的风险[2]。尽管这些攻击组织在免杀能力上相对较弱[2]，但通过精密的阶段性攻击和有效的伪装策略，它们依然能够成功渗透并控制目标网络，获取最终的敏感信息或数据。观成科技安全研究团队将继续追踪和分析东北亚方向APT组织使用的开源和自研木马，并不断优化检测方法，以适应东北亚方向APT组织变化的加密通信方式，进一步守护加密网络空间的安全。

5.IoC

6.参考链接

1.WPS用户警惕！APT-C-60利用WPS Office漏洞部署SpyGlace后门

https://mp.weixin.qq.com/s?__biz=MzkyMzAwMDEyNg==&mid=2247545541&idx=1&sn=3e287b0b3ad08f9b440684d7eb685583

2.微步在线 2023年威胁情报及APT活动分析报告

https://archive.threatbook.cn/threatbook/2023-ThreatBook-CTI-APT-Analysis-Report.pdf