针对韩国的间谍行动Blackbird

本文涉及到的样本译者已经分析过，如有相关问题可留言。

简介

Blackbird 行动背后主导者 Group123 以往的主要攻击目标是军队、政界或者企业等群体，攻击对象一般是服务器或者 PC 端，但是此次 Blackbird 行动的间谍程序扩展到了移动端，主要攻击目标为叛逃者或者有关的个人。

此次攻击最初在去年十二月被发现，攻击者通过 KakaoTalk 进行了网络钓鱼攻击。钓鱼页面诱使叛逃者安装应用程序（直接发送程序或者诱导叛逃者从谷歌商店下载），这些应用程序的主要目的是隐私窃取，即为间谍软件。

攻击流程

在用户通过钓鱼链接下载间谍程序后，用户设备与远程服务器进行连接。攻击中使用了三星和 LG 设备中的漏洞来植入 Dropper ，其中一个 Dropper 是利用了 Samsung CVE-2015-7888 的漏洞，随后可下载 Cmd 命令以及其他 Dex 恶意模块，其他功能中还使用了开源的通话录音工具 CallRecorder 。在分析此次攻击 C&C 上收集的数据发现此次攻击使用的电子邮件账户，通过 KakaoTalk 进行网络钓鱼是使用的配置信息还有其他许多敏感的个人信息。

攻击流程图为：

Blackbird 的钓鱼攻击手法有一定的针对性：

攻击历史

研究人员怀疑 Blackbird 样本第一次出现是在 2017 年 8 月，后期进行了多次变种。目前统计到的样本演变过程为：

攻击特征

研究人员根据代码特征、指纹证书和 C2 信息对这些样本进行了关联。目前这批样本使用的 C2 服务器主要有 dropbox ， Yandex 和被入侵的 Web 服务器三类。研究人员对这些样本进行了 C2 使用情况的标记。

随后根据证书指纹对上图中的组合标记号进行了组合分类以便于识别。

最后对代码和数据特征进行分析并进行组合标记，目前总结的功能 1 主要为：

代码模块 1 是使用了三星和 LG 设备中的漏洞来植入的载荷。而根据历史记录显示，这些投递的载荷在 2017 年 8 月发生了变种，但是代码中使用的字符串数据仍然一致。

代码模块 2 的情况为：

代码模块 2 目前分为三种类型，这三种类型仅类的名称不同，其他要下载的附加模块和字符串信息均相同。

在代码模块 2-3 ，恶意软件复写了开源 CallRecorder 的一部分代码。 CallRecorder 是一个实现通话录音的开源代码，有根据设置自动处理通话录音的功能。该开源代码地址为： https://github.com/aykuttasil/CallRecorder

代码模块 2 是是主要的恶意部分，在整个攻击历史中被反复使用。

收集数据分析

攻击者窃取用户隐私信息存储在测试文件夹中，包括设备信息，命令列表，受害者帐户的配置文件信息以及文档文件。这些文件位于下图所示令牌访问的 Dropbox 中。文件夹中文件的名称是 DeviceID 作为标识设备的标识号。由于依赖不同的令牌，研究人员通过收集具有相同 DeviceID 的文件来分析测试设备的 DeviceID （ 358506075293260 ）等文件。

在这些文件中，研究人员发现了一个电子邮箱，怀疑是攻击者所用邮箱。

代码分析

样本基本信息为：

hash ： 948f1d50d1784908ece778614315a995

应用名称： SamsungApps

包名： com.android.systemservice

Samsung Apps 执行流程的概念图为：

第一个 droppe 是通过 Samsung Vulnerability （ CVE-2015-7888 ）漏洞来安装的。应用程序最初会注册设备信息并下载 cmd 和其他模块（ dex ）以执行 cmd 中定义的恶意操作，后续会自删除。

APK 中的 Drop-in 代码：

应用程序的 assets 文件夹中有一个 drop apk 文件，这个 apk 文件才是最终的恶意行为文件（第二阶段恶意载荷）。同时这个程序还会进行自删除行为。

第二阶段恶意载荷样本信息为：

hash ： 19a06965edc7b86f7b63d5a86b927a87

AppName ： SystemService

包名： com.android.systemservice

C2 信息： YANDEX

C2 Yandex 地址为：

随后恶意软件就会上传设备的详细信息。根据收集的信息可以识别每个设备并对数据进行分类。

下载 cmd 文件后，提取命令信息，将其转换为相应的信息，然后根据命令设置应用程序。

下载附加模块的代码为：

加载下载的附加模块的代码为：

攻击者会根据用户版本下载功能不同的 Custom.dex 。

被收集的用户数据会被加密储存在远程服务器中。

总结

该病毒的攻击行为较为传统，“ Group123 ”韩国黑客组织到目前为止发动的钓鱼攻击活动有：

2016 年 11 月至 2017 年 1 月 -“ 罪恶的新年（ Evil New Year ） “ ；

2016 年 8 月至 2017 年 3 月 -“ 黄金时间（ Golden Time ） ” ；

2017 年 3 月 -“ 你快乐吗（ Are you Happy ） ?” ；

2017 年 5 月 -“FreeMilk” ；

2017 年 11 月 -“ 朝鲜人权（ North Korean Human Rights ） “ ；

2018 年 1 月 -“ 罪恶的新年 2018 （ Evil New Year 2018 ） ”

韩国正在成为恶意攻击者的一个重要目标，所使用的技术也正变得专门针对该地区（例如：使用本国语言，确保目标感觉到发送给他们的信息、文件或电子邮件更合法） 。在特定的行动中，攻击者花时间攻陷了包括延世和 KGLS 在内的多个合法的韩国平台，以打造鱼叉式的钓鱼行动或承担指挥和控制。此方法对技术不太先进的攻击者来说并不常见，这表现出了攻击者对韩国地区的高度熟悉和认知。

然而 Group 123 的行动并不局限于韩国。对于国际目标，他们能够切换到更为标准的攻击媒介，如使用 Microsoft Office 文档，而不是针对韩国受害者使用的特定 HWP 文档。 Group 123 会毫不犹豫地使用公共漏洞和脚本语言来投放和执行恶意 payload 。我们注意到，该组织使用攻陷的合法网站（主要是 WordPress ）和云平台与受感染的系统进行通信，此方法使得通过分析网络流量来检测通信变得更困难。虽然攻击者的武器多样，但我们已经确定了其部分模式：复制粘贴来自各个公共存储库的代码以及不同代码之间的相似性。除远程管理 工具 之外，我们还识别出了一个擦除器。我们得出结论：该组织参与了情报收集活动，最后企图破坏。

以目前对攻击者的了解，研究人员预测他们不会很快消失，在未来几年将继续活跃。