朝鲜半岛

APT组织DarkPlum使用的AsyncRAT变种

APTHUB的照片 APTHUB2025年1月7日
0 7 1 分钟前

介绍

自 2024 年 3 月左右以来,在日本观察到目标攻击组织 DarkPlum(也称为 APT43 或 Kimsuky)的多次攻击。 DarkPlum 使用多种恶意软件,但在最近的攻击活动中观察到了 AsyncRAT 的变体。安全供应商有几份报告提到了这个 AsyncRAT 变种,但详细的分析结果以及与原始版本的差异尚不清楚 。

SOC 一直在研究 DarkPlum 使用的 AsyncRAT 变体,并揭示了其实现和行为。在本文中,我们将根据分析结果介绍 AsyncRAT 与原始版本的差异。

异步RAT

GitHub 上发布的原始 AsyncRAT  在感染受害设备后将设备信息发送到 C&C 服务器,并继续等待通信。之后,插件从C&C服务器发送并在受害者终端上执行,实现各种恶意行为。插件包括文件操作函数、进程操作函数、键盘记录函数等。

我们的调查显示,DarkPlum 在使用 AsyncRAT 的变体时使用了多个插件。这次,我将介绍其中的三个插件:RemoteDesktop、FileManager 和 RemoteShell。

AsyncRAT 变体的行为

DarkPlum 使用的 AsyncRAT 变体在感染受害者设备后继续等待来自 C&C 服务器的通信,如下所示。此时,与原来的AsyncRAT不同,不会发送有关受害终端的信息。从受害设备向 C&C 服务器发送消息“Packet ClientInfo”后,它会从 C&C 服务器接收消息“Packet Ping Message This is a Ping!” 。如果C&C服务器不采取任何行动,它将继续接收来自C&C服务器的消息。然后从 C&C 服务器发送插件(.NET 程序集)并在受害者设备上执行。此时,C&C服务器会在字符串“Packet saveaddin barray”之后发送插件。

AsyncRAT端收到后,通过指定插件的Addin.Add的Run方法来执行插件。另外,在启动原始 AsyncRAT 插件时,尽管命名空间不同,但仍使用 Run 方法。

经过调查,我们发现DarkPlum使用的AsyncRAT变体和原始AsyncRAT中的插件的文件结构如下(例如FileManager)。在变体中,Add.cs 以及在 Addin 命名空间中实现的 Run 方法和插件本身都被实现,而在原始的 AsyncRAT 中,它是直接在插件下实现的。

特色插件

远程桌面

RemoteDesktop插件实现了屏幕捕获、鼠标交互和键盘交互功能。这些与 GitHub 上发布的 AsyncRAT 的 /Plugin/RemoteDesktop 类似。对插件进行调查后,我们发现这两个插件的 SteamLibrary 下的大部分内容是相同的。

文件管理器

FileManager插件包括窃取受害者终端上的文件夹信息、窃取驱动器信息、下载和安装7zip以及文件操作功能等功能。这些也类似于 GitHub 上发布的 AsyncRAT 的 /Plugin/RemoteDesktop。研究插件后,我们发现两者的 /Handler/FileManager.cs 文件大部分相同。

远程外壳

RemoteShell插件具有通过指定pid(/Hand/Hand_sh.cs)启动cmd、执行命令和终止进程的功能。 DarkPlum使用该插件来调查受害者终端的环境。这也与AsyncRAT的/Plugin/Handler/HandleShell.cs相同,但一些方法名称和处理发生了变化。

一个显着的变化是来自 C&C 服务器的命令现在包含特定字符串。例如,如果找到以下字符串“shfsdfsdfeell” ,则将启动cmd 如果找到字符串“shsdfawefocnoeanofawr”,则将使用cmd执行该命令。

结论

在本文中,我们介绍了 DarkPlum 使用的 AsyncRAT 变体。在这次处理的变体中,与原始 AsyncRAT 相比,确认了几个实现差异。 DarkPlum 有可能使用公开可用的工具并对其进行适当定制,以提高便利性或逃避检测。 DarkPlum 将来可能会继续这个试错过程,所以请小心。

国际奥委会

SHA256

  • 7d0d673fad1f16f153f586035b24c9eb8f6eb0990a6f05cb84525bc9977c99c0
  • 1076743a8e2f650b80c8802f0b196b735ab030ed29471d003f9942ccee494596
  • 01ccbc9ac090be73f12cad8ff83b599b1c689e7ccf9de8102d50512bb767bdec
  • f4275b0d3c4b6f3a165984b862f4890df14cc346013a22412f7288c9fdc65690
  • 4cf87cc8ec18cc288bdebb464ca21e4a03d5a35e5f0d294f33a6791e99640a88
  • b3f4db35c07f8f8ce903c7a1133f1959b80bb198b994942c67776474170999a0
  • cd87f640cb5e020c51d2bf233f85a9768880230f7e848aeb39f11829cbfb832c

IP

  • 159[.]100.13.216
  • 144[.]76.109.61
标签
APTHUB的照片 APTHUB2025年1月7日
0 7 1 分钟前
APTHUB的照片

APTHUB

相关文章

朝鲜APT组织Kimsuky采用新的网络钓鱼策略来攻击受害者

2025年1月14日

朝鲜APT组织Kimsuky武器库曝光:多种类木马分析

2025年1月11日

APT组织Andariel(G0048)利用SmallTiger针对韩国解决方案的攻击案例分析

2025年1月16日

朝鲜APT组织Kimsuky 组织使用 RDP Wrapper 发起持续威胁

2025年2月4日

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

© Copyright 2025, All Rights Reserved  |  APT HUB
返回顶部按钮