鑽石舞台

1.攻擊流程

通過BabyShark組件歷史攻擊可以知道前期通過誘餌文檔來釋放或下載後續惡意DLL，本次誘餌文檔暫未捕獲。攻擊者利用惡意DLL釋放VBS腳本文件，請求地址hxxps://api.onedrive.com/v1.0/drives/+path1+/items/+path2+select=id%2C%40content.downloadUrl+authkey獲取後續請求地址hxxps://qizzhq.dm.files.1drv.com/y4mz739xHv5A59pON-9E5_f3U7qk1a-Jzwn-C_K-JA3A72_w-5vXa9zAx_YMJfIRdU4，請求上述地址獲取到加密數據，利用VBS腳本解密後執行，最後收集用戶相關信息上傳至APT組織服務器ielsems[.]com。

2.樣本分析

MD5

3b11456f184a0d263b7f56cb92667b0e

First Submission

2022-03-12 13:50:42 UTC

DllMain函數中創建兩個線程，線程1 解密base64數據並執行，線程2 檢查安博士v3組件。

線程1：

解密base64數據並調用WinExec執行。

解密後的腳本摻雜着大量混淆字符，以無法正常閱讀。通過解混淆操作後還原代碼：

腳本功能為請求C&C（hxxps://api.onedrive.com/v1.0/drives/+path1+/items/+path2+select=id%2C%40content.downloadUrl+authkey）獲取後續URL。

請求結果：

腳本通過正則表達式匹配獲取域名*.1drv[.]com，檢測字符串是否匹配給定的正則表達式。

請求訪問獲取後續載荷：

獲取到文本文件，內容已經被加密。

調用VBS腳本函數Co00進行解密，解密函數和歷史Kimsuky樣本是一致的解密算法。

腳本功能為收集用戶名，拼接發送到hxxps://ielsems.com/cic/macro.php?na=+用戶名，訪問後顯示ok,推測攻擊者在收集用戶基本信息後針對特定目標進行精準攻擊。

線程2 ：

查找49B46336-BA4D-4905-9824-D282F05F6576窗口實際為安博士殺軟v3組件，找到之後也只是做了隱藏窗口的處理，並沒有結束操作。這個類名在以往 GoldDragon的活動中經常使用。

在日常高價值樣本狩獵中還發現了與此次攻擊行動相關的組件，7de6969f867aada10c175e9d4328942e樣本為上述攻擊流程的後續載荷，雖然不是本次攻擊鏈條的後續樣本，但是通過我們歷史發布的報告（https://mp.weixin.qq.com/s/og8mfnqoKZsHlOJdIDKYgQ）可以確認是該攻擊鏈的後續樣本,詳細對比在關聯分析中展開討論。

MD5

7de6969f867aada10c175e9d4328942e

First Submission

2021-08-13 16:33:24

VBS腳本功能簡述:

1.判斷如果%appdata%目錄下存在dsektop.tmp，則進行解密數據後執行，最終刪除文件dsektop.tmp，如果不存在則請求地址worldinfocontact[.]club獲取desktop.tmp，並保存至%appdata%目錄下。

2.添加注入表鍵值AppXr1bysyqf6kpaq1aje5sbadka8dgx3g4g寫入請求dsektop.tmp代碼。

3.獲取VBS腳本參數，進行替換操作後，執行參數並保存至userprofile%\Microsoft\sys.vbs

4.添加計劃任務調用wscript.exe執行sys.vbs並讀取註冊表AppXr1bysyqf6kpaq1aje5sbadka8dgx3g4g內容，每隔29分鐘執行1次

5.刪除當前腳本

3.武器升級

本次還捕獲到一個迭代版本的BabyShark組件樣本,沒有完整捕獲到該樣本流程鏈中的其他樣本,通過特徵可以確認為BabyShark相關組件。

樣本4bb1827e37223b674ab7270f7b7bbb4d與之前披露的BabyShark組件的初始階段載荷version_hwp.dll、version.dll導出函數相同（https://mp.weixin.qq.com/s/pkCK1ryXvGWFuoHQk9Rahg）,且PDB路徑H:\HIJACKING\OneDrive_Hijacking\googleDrive_rat_load_complete\googleDrive_rat_load_complete\rat_load\Release\rat_load.pdb與近期披露的BabyShark組件路徑吻合。通過編譯時間戳可以推測為武器升級迭代。

MD5

4bb1827e37223b674ab7270f7b7bbb4d

First Submission

2022-02-06 05:47:09 UTC

該DLL導出函數與歷史Kimsuky樣本導出函數一致。

DllMian主要實現拼接字符串「C:\Users\用戶名\AppData\Roaming\Microsoft\desktop.r5u"並讀取文件desktop.r5u（這裡沒有捕獲到上一層釋放的樣本）並判斷是否讀取到文件流，如讀取到繼續執行流程，沒有讀取到則結束整個流程。

讀取文件內容後，申請空間寫入讀取到的文件內容。

解密流程異或0xFFF：

在目錄下C:\Users\用戶名\AppData\Roaming\Microsoft\創建log.txt文件，記錄一個階段載荷加載記錄。並調用加載下一階段載荷。

4.關聯分析

本次披露樣本與之前披露BabyShark組件代碼有相似的流程攻擊鏈,本次攻擊鏈與歷史攻擊差異處在於兩點，一是在請求目標不同，歷史初次請求目標域名為onedrive.live.com，本次攻擊初次請求目標域名api.onedrive.com,二是本次攻擊鏈在請求第一次域名獲取到的為後續短鏈接域名qizzhq.dm.files.1drv.com。利用短鏈接再請求後續數據,增強其溯源難度。

本次樣本在收集用戶信息後,沒有針對特定用戶下載樣本的後續操作,但是結合之前披露的攻擊鏈可以知道，後續樣本收集用戶信息後會進一步請求後續載荷。下圖為本次BabyShark組件攻擊鏈條結合之前披露的歷史BabyShark組件攻擊鏈合成的完整攻擊鏈，紅色框為本次攻擊鏈路圖,組件1(7de6969f867aada10c175e9d4328942e)在整個攻擊流程內位置如下圖所示。

本次攻擊鏈使用解密算法與之前披露的BabyShark組件解密算法一致。

通過之前披露的BabyShark組件樣本，可以確定組件7de6969f867aada10c175e9d4328942e為後續階段樣本。對比後可以發現7de6969f867aada10c175e9d4328942e樣本與歷史披露的BabyShark組件的第四階段樣本代碼相同，且訪問相同地址worldinfocontact[.]club請求後續載荷。

樣本4bb1827e37223b674ab7270f7b7bbb4d與之前披露的BabyShark初始階段的載荷version_hwp.dll、version.dll導出函數相同。且從編譯時間來看樣本4bb1827e37223b674ab7270f7b7bbb4d為version_hwp.dll、version.dll迭代升級版本。

且樣本4bb1827e37223b674ab7270f7b7bbb4d PDB路徑H:\HIJACKING\OneDrive_Hijacking\googleDrive_rat_load_complete\googleDrive_rat_load_complete\rat_load\Release\rat_load.pdb與披露的BabyShark組件pdb路徑部分相同,確認為BabyShark組件樣本，後續捕獲到完整攻擊鏈後會繼續披露。

https://mp.weixin.qq.com/s/og8mfnqoKZsHlOJdIDKYgQ

https://www.huntress.com/blog/targeted-apt-activity-babyshark-is-out-for-blood