/ APT

DarkHotel and ScarCruft APT Group Overlapped Operation

2016年6月,卡巴斯基实验室的研究人员发现一个未知的关于Adobe Flash Player的零日漏洞用于目标式攻击。经过进一步分析发现所使用的Payload为DarkHotel组织使用。DarkHotel在近些年的攻击中擅长使用不同的Adobe Flash Player的漏洞进行攻击。有趣的是,研究人员在分析DarkHotel用于水坑攻击的网站中发现了另一个APT组织“ScarCruft”。ScarCruft组织的攻击目标是俄罗斯、中国以及其他韩语国家,主要采用的攻击方式是水坑攻击、钓鱼攻击等。

DarkHotel与ScarCruft攻击组织在攻击目标中有重合,我们将这其中的两个攻击行动命名为“DayBreak”和“Erebus”(厄瑞玻斯:混沌之子,永久黑暗的化身)。DayBreak行动由ScarCruft组织在2016年3月发起,使用的是Adobe Flash Player零日漏洞进行攻击,使用的链接为:
hxxp://scarcroft[.]net/plus/thumbs/index.php
2016年5月底,卡巴斯基高级启发式检测技术发现了一个利用CVE-2016-4117漏洞的新型攻击,恶意的payload分布在不同的被攻陷网站,并且并未与以前的恶意软件有连接,因此被称为“Erebus行动”,在此次行动中使用的链接如下:

  • hxxp://scarcroft[.]net/wp-content/plugins/twitplug/twitter.php
  • hxxp://www[.]chateau-eu[.]fr/wp-content/player/qqplayer.php?
  • hxxp://www[.]chateau-eu[.]fr/wp-content/player/qqplayer.jpg
  • hxxp://www[.]chateau-eu[.]fr/wp-content/plugins/gallery/photo-gallery.php?
  • hxxp://www[.]chateau-eu[.]fr/wp-content/protect/wpprotect.php?

上述链接投递CVE-2016-4117漏洞利用,其payload是从FinFisher中剥离并进行了修改。
1
ScarCruft攻陷的域名还包括:

  • rfchosun[.]org
  • dailynk[.]com
  • cafe.daum[.]net

DarkHotel的Daybreak行动最早从2016年4月开始,而ScarCruft的Erebus行动最早于2016年5月开始。因此,ScarCruft组织可能也看到了DarkHotel组织的攻击行动,这两个组织成功攻破了相同的网站并用于2016年5月的攻击。被攻陷的站点重叠可能让我们得出“DarkHotel和ScarCruft是相同攻击组织”这样的结论,因而推出Daybreak和Erebus两个行动为同一个攻击组织所为,但是现在我们发现并不是这样的。
2
上图是两个攻击组织TTP描述,图的左侧为ScarCruft组织的攻击手法以及攻击基础设施,图右侧为DarkHotel组织的攻击手法和攻击基础设施,可以看到有部分被攻陷网站是重合的,但是从他们的攻击手法和攻击目标不同可以得出“DarkHotel和ScarCruft并不是同一个组织”的结论。
截止2017年4月,ScarCruft组织以韩国为攻击目标,采用间谍和破坏为主的攻击特点,目的是影响其总统大选。目前,该组织对目标的攻击以窃取有价值的信息为主,因为他们选择投递大量恶意的韩语文档HWP,但DarkHotel并没有参与这波攻击行动。

资料来源:https://securelist.com/the-festive-complexities-of-sigint-capable-threat-actors/82683/
https://cdn.securelist.com/files/2017/10/Guerrero-Saade-Raiu-VB2017.pdf