Kimskyは、多段階の悪質なLNKファイルを使用してPythonベースのバックドアをデプロイしており、最終的なペイロードロジックはほぼ変わらないまま新しい中間スクリプトを追加しています。
このキャンペーンはWindowsタスクスケジューラ、Dropbox、およびバンドルされたPythonランタイムを悪用して、検出を回避し、感染したシステム上での永続性を維持しています。
ZIPには、Pythonスクリプト(can.py)、スタンドアロンのPythonインタープリタ、およびXMLタスクスケジューラファイル(sch.db)が含まれており、Microsoft_Upgrade{10-9903-09-821392134}という名前のタスクを登録して、Pythonスクリプトを実行し、最終的には最終的なPythonバックドアをフェッチして実行しました。
最近のアクティビティでは、グループはLNK→PowerShellの開始ポイントは保持していますが、単純なBAT中心の中間段階を、より複雑なXML→VBS→PS1→BATチェーンに置き換えています。
ASECは古いKimskyLNKチェーンが比較的単純なフロー(LNK→PowerShell→BAT)に従っていたと報告しており、BATスクリプトはqugesr[.]onlineから ZIPアーカイブと誘導文書をダウンロードしていました。
この設計変更により、実行責任が複数のスクリプトに分散され、スタティック検出と動作相関がより困難になりますが、最終的なPythonバックドア配信は保持されます。
Kimskyは悪質なLNKファイルを使用
「Resume (Sungmin Park).hwp.lnk」および「Guide to Establishing Data Backup and Recovery Procedures (Reference).lnk」などの最近のおとり用ファイル名は、依然として組み込みのPowerShellを実行していますが、最初はC:\windirr上にステルスフォルダを作成して、隠し属性とシステム属性を使用して、その後のアーティファクトを気付かないブラウジングから隠します。
LNKペイロードはその後、おとり用HWPドキュメントと3つのコンポーネント(sch_ha.db(タスクスケジューラ用XML)、11.vbs、および pp.ps1)をドロップします。
XMLタスクGoogleUpdateTaskMachineCGI__{56C6A980-91A1-4DB2-9812-5158E7E97388}は、固定タイムスタンプから17分ごとにwscript.exe /b “C:\windirr\11.vbs”を実行するように構成されており、スケジュール化された静かな実行を提供します。
トリガーされると、11.vbsはpp.ps1を起動し、ホストデータ(ドメイン、ユーザー名、実行中のプロセス、OSバージョン、パブリックIP、アンチウイルス情報)を収集してtmp.iniに書き込みます。
その後、スクリプトはDropboxをコマンドアンドコントロールおよび流出チャネルとして使用し、盗まれたデータを<userdomain>_<date>_info.iniというファイル名パターンでアップロードし、追加のスクリプトパッケージ(zzz09_test.db_sent)を取得して、C:\Users\Public\Music\hh.batとして保存して実行します。
hh.batステージはquickcon[.]storeから2つのZIPフラグメントをダウンロードし、それらを%TEMP%\G9081234.zipにマージして、C:\winiiに抽出します。
アーカイブには別のXMLタスクスケジューラファイル(norton.db)とPythonバックドアbeauty.pyが含まれており、GoogleExtension{02-2032121-098}という名前の新しいタスクが登録されてbeauty.pyをスケジュールに従って実行し、Kimsky耐久性のあるPythonベースのアクセスを提供します。
ASECはこのキャンペーンで2種類のPythonペイロード(ダウンローダーとより機能豊富なバックドア)を特定しています。
バックドアは最初に「HAPPY」という文字列を含むパケットをC2の45.95.186[.]232:8080に送信して感染の成功を通知し、その後、マジックバイト0x99 0x0A 0xBD 0x99でフレーム化されたカスタム4096バイトプロトコルに切り替わります。
コマンドコードに基づいて、バックドアはドライブを列挙し、任意のシェルコマンドを実行し、ディレクトリをリストして、ファイルをアップロードおよびダウンロードし、ランダムデータで上書きしてファイルを安全に削除し、EXE、BAT、またはVBSファイルを実行できます。
持続的なKimsky職人技
観察されたオペレータアクティビティには、ディスク容量のクエリ、ipconficの実行、tasklistでのプロセスのリストアップ、および初期感染後の環境をマップするためのC:\への再帰的なリストアップが含まれます。
付属のPythonダウンローダーバリアントは、攻撃者インフラストラクチャから%TEMP%に追加のVBSおよびBATファイルをプルし、CREATE_NO_WINDOWフラグで実行してコンソールが表示されないようにし、180秒待機してから両方のファイルを削除して、フォレンジックアーティファクトを削減します。
このキャンペーンは、長年続いているKimsky職人技を再利用しながら、チェーンを段階的に進化させています。
XMLベースのタスクスケジューラ登録とGoogleUpdateTaskMachine*スタイルの名前およびsch_*.dbファイル名は、ASECで文書化された以前のKimskyアクティビティと一致し、複数のLNK波全体で同じおとり用ドキュメントを再利用しています。
主な変化は、単純なLNK→PowerShell→BATパスから、より分裂したLNK→PowerShell→(XML→VBS→PS1→BAT)モデルへの移行であり、クラウドサービスの悪用とPythonの組み合わせにより、従来のWindowsマルウェアシグネチャを回避しています。
ディフェンダーにとって、これはタスクスケジューラXMLインポート、C:\windirr やC:\winiiなどの疑わしいフォルダ、エンドポイントからのDropboxベースのトラフィック、およびユーザーディレクトリにバンドルされたPythonインタープリタの存在を監視する必要性を強調しています。
翻訳元: https://gbhackers.com/kimsuky-uses-lnk-files/
