Kimsuky移动端恶意活动瞄向韩国东亚研究所国家安全主任

• 攻击事件概述

安天移动威胁情报中心在日常移动APT的狩猎监测活动中发现：Kimsuky组织针对韩国人的三种新型Android恶意软件。在对恶意安卓木马的溯源分析中，通过对攻击者的攻击资产展开溯源取证分析，在攻击者的浏览器中发现了韩国东亚研究所某位国家安全主任的谷歌账号被控，且攻击者获得了该受害者存放在谷歌云盘的所有文件信息。

三个恶意 APK 的包名称中均出现了“Fast”关键字，结合每个APK各自的特征来命名，它们分别是：FastFire、FastViewer和FastSpy 。

• 攻击手法揭露

在对此次kimsuky的移动端攻击事件的攻击资产服务器进行取证时发现了名为“APPstore”的文档，文档中详细记录了如何将木马安装在目标人物终端的方法步骤。

结合文档梳理出攻击者如何利用Google Play控制Android设备的方案，总体可分为3个阶段5个步骤：

▍阶段一：恶意应用上架Google Play AppStore。攻击者特地在文件中声明根据上市（谷歌应用市场）条件修改应用程序很重要。

图1-1 Google Play AppStore应用下载

▍阶段二：控制目标设备安装恶意应用。

在此阶段Kimsuky利用编写的恶意PHP文件以“代理”的形式访问网页，再利用电子邮件诱导用户访问恶意的谷歌页面。从表面上，用户看到的网页界面与官方是完全相同的，而实际上用户在此期间产生的请求及响应均会被记录下来，当登录成功后Kimsuky即可利用用户的Cookie进行操作。成功控制受害者谷歌账号后，在Google PlayStore上访问恶意应用下载页面，点击“install on more devices”按钮，在下面的窗口中，选择要安装的设备，然后单击“install”按钮，即可让受害者谷歌账号绑定的安卓设备安装该恶意应用。

图1-2 Google PlayStore访问恶意应用下载页面

图1-3 Google PlayStore点击ok下载恶意应用

▍阶段三：控制恶意应用运行。

如果要运行未经用户同意安装的apk，可以根据apk的执行形式应用多种方案。

方案一：

如下图所示，通过发送网络邮件引导用户在安装了恶意应用的Android机器上单击产生apk执行意图的链接的形式。点击后将会调用深度链接启动恶意应用。

图1-4 利用网络邮件引诱用户点击打开恶意应用

方案二：

使用“Open With”方式的启动。将Apk编写为特定（.docm）扩展名的阅览应用程序（Fastviewer），然后通过邮件发送对应格式的文档，引导用户在Android机器上查看，就可以触发恶意应用运行。

当触发应用运行后即可通过AndroSpy控制端进行远控，如下图所示：

图1-5 控制端远控界面

总结上述三个阶段可得攻击者在移动端整体的攻击活动可分为5个步骤，详情见下图：

图1-6 移动端攻击活动5个步骤

在对攻击者的溯源取证中发现了攻击者使用的Google账号以及网页浏览记录，如下图：

图2-1 攻击者的Google账号以及网页浏览记录

图2-2 攻击者的网页浏览记录

攻击者电脑的浏览器中发现了一个韩国受害者谷歌账号，疑似为首尔国立大学政治学与国际关系系教授chaesung chun：

图2-3 发现名为chaesung chun的谷歌账号

谷歌网盘中包含该受害者的个人及家庭照片。

图2-4 谷歌网盘中的照片

攻击者也同步获得了受害者的所有邮件。

图2-5 受害者的所有邮件

接下来将针对此次kimsuky组织使用的三种新型恶意android木马展开技术分析。

图3-1 三个恶意样本简介

• FastFire样本分析

图3-2 FastFire恶意程序样本

代码结构特征如下：

图3-3 FastFire代码结构特征

该样本中共有五个恶意类，在运行时实际上只执行了三个，各个类的功能如下图所示：

图3-4 FastFire五个恶意类及功能

StartModuleService类在AM中有声明，但在 FastFire 运行时并未实际执行。此类的功能是通过intent访问特定 HTML 页面。

图3-5 通过intent访问特定 HTML 页面

startmodule类在运行时并未被执行或调用，在以往的攻击事件中Kimsuky组织通过伪装网站进行网络钓鱼攻击，以劫持 Naver 和 Daum 等韩国大型门户网站的账户，这次的FastFire恶意软件也针对这两个门户网站。如果在调用startmodule类时传入的参数中存在字符串“naver”、“daum”或“facebook”，它将会连接到 C&C 服务器并获取 HTML 页面。由于该类实际上并未被调用，因此它可能仍在开发中。

图3-6 调用startmodule类时传入的参数中存在字符串“naver”、“daum”或“facebook”

对FirebaseMessage下发的消息进行处理，从消息中获取"my_custom_key"的值，再根据获取到的值是否为“naver”，“daum”或“facebook”来判断要访问的网址。

图3-7 从消息中获取"my_custom_key"的值

由于以上的链接均已失活，从情报中成功获取到了html样本，如下图所示。其html代码中包含了下载额外恶意文件的功能，同时该网页的深度链接能够直接唤起FastFire。

图3-8 html代码中包含了下载额外恶意文件的功能

图3-9 应用被intent唤醒

在daum.html和facebook.html中均有着类似的深度链接，可以唤起对应的恶意软件，不过目前暂未发现相关的恶意样本：

图3-10 daum.html未发现恶意样本

图3-11 facebook.html未发现恶意样本

因此，FastFire 被认为是 Kimsuky 集团目前正在开发的一种新的移动恶意软件，因为深度链接调用功能尚未正确实现，并且有一些类实际上并没有被调用或执行。

• FastViewer样本分析

图3-12 FastViewer恶意程序样本

该样本的代码特征见下图，样本中使用的字符串由自定义的算法解密，解密算法的实现类为“MyCrypt”，同时在“MyLoader”类中实现动态加载从CC下载的FastSpy恶意模块。

图3-13 FastViewer样本代码特征

图3-14 代码中的加密字符串

动态申请权限的类名是“HiPermission”，这是Github上的一个开源项目，相信是 Kimsuky 小组对开源代码进行了部分修改，并将其应用于 FastViewer，下表为申请的权限及其用途：

图3-15 “HiPermission”申请权限及用途

请求权限代码，相关字符串已被加密：

图3-16 请求权限代码被加密

根据服务器上获取到的相关源码文件可知道FastViewer修改的类有：

• com.tf.thinkdroid.pdf.app.RenderView

• com.hancom.office.HancomOfficeEngineView

• com.hancom.office.HancomOfficeViewerActivity

如下图所示：

图3-17 服务器相关源码

当读取攻击者创建的特殊文档文件时，会通过com.steadfastinnovation.android.projectpapyrus.consts._Global.decryptFile检查文件的前 4 个字节是否为“EDC%”，然后将“EDC%”更改为原来的4个字节即”%PDF“，将其转换为普通文档并显示给用户，并在后台执行恶意行为。

图3-18 解密文件判定后执行恶意行为

Kimsuky组织修改了

HancomOfficeViewerActivity中的openFile方法，当读取由攻击者创建的特殊文档文件时，通过检查文件的前 4 个字节是否为“EDC%”来进行判断是否需要执行恶意功能。

图3-19 通过唤醒intent执行恶意功能

在MainActivity中根据intent中携带的“StrOpt”的值执行对应的恶意行为。

图3-20  在MainActivity中判断intent携带值

“StrOpt”的值及其执行的恶意功能见下表：

图3-21   “StrOpt”的值及其执行的恶意功能

下载FastSpy恶意功能模块，解密并动态加载：

图3-22  下载FastSpy恶意功能模块

下载的模块是一个压缩的DEX文件，在内存中通过base64解码和GZIP解压提取出原始数据。提取的文件是执行远程控制的FastSpy 。

图3-23  解压提取数据

通过反射调用FastSpy中的方法。

图3-24  反射调用fastSpy方法

• FastSpy分析

FastSpy样本与FastVIewer均使用了自定义的字符串解密算法，FastSpy的恶意功能主要有：获取应用列表、屏幕状态、短信、拍照、录音、截屏/录屏、获取壁纸以及无障碍相关的功能。

图3-25  FastSpy样本自定义的字符串解密算法

执行FastSpy时，内部存储的C&C服务器信息与之前从C&C服务器接收的信息进行比较。如果这两个值不同，则使用从服务器接收到的信息在内存中更新信息。

图3-26  C&C服务器接收的信息比较

动态申请的权限如下所示，FastSpy可以在未经用户同意的情况下滥用从 FastViewer 获得的无障碍权限。如果FastSpy的恶意行为所依赖的特定权限未被授予，则会弹出请求权限的窗口。在这种情况下，FastSpy会利用无障碍权限自动在窗口中单击“同意”按钮的功能，以便FastSpy自己获取权限，而无需与用户交互。

图3-27  FastSpy申请权限

通过无障碍服务自动同意授权的代码如下：

图3-28  无障碍服务自动同意授权的代码-1

图3-29 无障碍服务自动同意授权的代码-2

初始化RAT，默认CC地址即端口为192.168.1.21:4545，并注册广播接收者监听屏幕及短信发送状态：

图3-30 监听屏幕及短信接收信息

相关远控指令已被加密，经整理出的指令列表如下：

图3-31 远控指令已被加密

图3-32 远控指令列表

• kimsuky背景介绍

自2012年起，Kimsuky（又叫Velvet Chollima/Black Banshee）APT组织一直在活动。以往被曝光的证据表明，其很可能是受朝鲜政权委托来执行全球情报收集任务。采用的攻击手段包括常见的社会工程学、鱼叉式网络钓鱼和水坑攻击，主要攻击平台为windows，近年来出现针对android设备的攻击活动。

Kimsuky组织主要以韩国智库、工业、核电运营商和韩国统一部为攻击对象，同时瞄准各个领域专家、智囊团等。近年来，Kimsuky已将攻击面扩展到俄罗斯、美国和欧洲国家。

Kimsuky使用的攻击手法和攻击工具与同为朝鲜背景的APT组织Lazarus Group存在相似性，通常认为两者之间存在着联系。据2019年美国财政部发布的制裁朝鲜国家支持的恶意网络团体的声明中，认定Lazarus Group 是一个知名的网络犯罪集团，被广泛认为是由朝鲜政府运营，主要以政府、军事、金融、制造、出版、媒体、娱乐和国际航运公司等机构以及关键基础设施为目标，使用网络间谍、数据盗窃、货币抢劫和破坏性恶意软件操作等策略。朝鲜政府早在 2007 年就创建了这个恶意网络组织，隶属于 RGB 第 3 局第 110 研究中心。RGB所属旗下也有多个部门，Kimsuky也极有可能是里面其中一个部门。

图4-1 RGB部门划分

• kimsuky组织Android端历史攻击活动

图4-2 kimsuky组织Android端历史攻击活动

• 2020 年 11 月，Kimsuky 集团使用的移动版 AppleSeed 家族。在该样本中，该组织甚至称自己为 Thallium，这是微软给出的名称。

• 2021 年 4 月，伪装成 KrCERT/CC 所属的 KISA（韩国互联网安全局）移动安全程序的恶意 APK被分发。该 APK 也是AppleSeed系列的移动版本。当感染恶意APK时，它使用HTTP/S协议与C&C服务器通信，接收命令，并执行恶意行为，例如窃取被感染设备的信息。

• 2022年10月24日，kimsuky被曝出在2022年6月使用针对Android设备的恶意软件FastFire、FastViewer和FastSpy攻击韩国目标。其中FastFire恶意软件伪装成谷歌安全插件，FastViewer恶意软件伪装成“Hancom Office Viewer”，FastSpy是基于AndroSpy的远程访问工具。

2018 年，Kimsuky 使用 Google Chrome 网上应用店提供的扩展程序感染受害者并从他们的浏览器中窃取密码和Cookie。在 2018 年 5 月的 STOLEN PENCIL 行动中，Kimsuky 使用了 GREASE 恶意软件。GREASE 是一种工具，能够添加 Windows 管理员帐户并启用 RDP，同时避免防火墙规则。在历史攻击活动中Kimsuky 展示了通过使用恶意浏览器扩展、修改系统进程、操纵执行、使用远程桌面协议 (RDP) 以及更改应用程序的默认文件关联来建立持久性的能力。并且从以上对c2服务器的取证信息来看，充分说明了Kimsuky组织在使用此c2服务器同时展开对windows和Android的双平台攻击。

【附录】IOC

kimsyky攻击活动服务器资产关系图谱：

ip

•210.92.18.164

•165.154.240.58

•165.154.240.72

•61.32.51.202

•118.128.149.119

apk

•FDD0E18E841D3EC4E501DD8BF0DA68201779FD90237C1C67078D1D915CD13045

•C038B20F104BE66550D8DD3366BF4474398BEEA330BD25DAC2BB2FD4B5377332

•1510780646E92CBEFC5FB4F4D7D2997A549058712A81553F90E197E907434672

•38D1D8C3C4EC5EA17C3719AF285247CB1D8879C7CF967E1BE1197E60D42C01C5

•884FF7E3A3CEA5CE6371851F205D703E77ABC7D1427D21800A04A205A124B649

•031BDE16D3B75083B0ADDA754AA982D4F6BD91E6B9D0531D5486DC139A90CE5A

dex

•AE7436C00E2380CDABBDCCCACF134B95DDBAF2A40483FA289535DD6207CC58CE

•539231DEA156E29BD6F7ED8430BD08A4E07BA330A9FAD799FEA45D9E9EED070C

登录凭证

谷歌账号

•ws742134@gmail.com

•noreply@assist-goooqle.com

•malgalzok@gmail.com

•zinsaba55@gmail.com

•man436409@gmail.com

•polestigger@gmail.com

•zinsaba55@gmail.com

•amfrank833@gmail.com

•authbonin@gmail.com

•usinguh2020@gmail.com

daum邮箱账号

•sec_analytic@daum.net

•noreply_secuity@daum.net

•zinsaba@daum.net

•prosper777@daum.net

kakao邮箱账号

•account_notic@kakao.com

han邮箱账号

•js1obo@hanmail.net

•papanda@hanmail.net

naver邮箱账号

•karenshim2@naver.com  

web_rnaste@naver.com

【参考】

https://medium.com/s2wblog/unveil-the-evolution-of-kimsuky-targeting-android-devices-with-newly-discovered-mobile-malware-280dae5a650f

END

关于安天移动安全

关于安天移动安全武汉安天信息技术有限责任公司（简称安天移动安全）成立于 2010 年，是安天科技集团旗下专注于移动智能用户生态安全防护的科技公司。自主创新的移动反病毒引擎，在 2013 年以全年最高平均检出率荣获 AV-TEST“移动设备最佳防护”奖，实现了亚洲安全厂商在全球顶级安全测评领域重量级奖项零的突破。经过十余年的发展与积累，公司的反病毒引擎产品已与移动终端设备厂商、移动应用开发者、运营商、监管部门等移动设备产业链上下游企业机构伙伴成功合作，为全球超 30 亿移动智能终端设备提供全维度、全生命周期安全护航，已发展成为全球领先的移动互联网安全防护厂商。安天移动安全始终秉承安全普惠使命，通过自主创新国际领先的安全核心技术，与产业链各方共同打造操作系统内生安全的绿色生态链，为新时代用户打造国民级安全产品，在万物互联时代营造更安全和可持续的全场景健康数字体验。

关于安天移动威胁情报团队

安天移动威胁情报团队致力于移动APT活动研究及移动安全攻防对抗技术研究，由一支拥有前沿移动端安全对抗技术、多年境外APT组织实战对抗经验、漏洞分析与挖掘能力的一流安全工程师团队组成。在近些年，成功通过基于安天移动样本大数据的APT特马风控预警运营体系，持续发现包含肚脑虫、利刃鹰、APT37等多个APT组织的移动端攻击活动，并依托该体系建立了一线移动端攻击活动的捕获能力、拓线溯源分析能力。安天移动威胁情报团队未来将仍持续专注于移动安全领域研究，以安全普惠为核心价值观，建设一支召之即来，来之能战，战之必胜的顶尖网络安全团队，并将长久且坚定地维护移动网络世界安全。