360 Darkhotel（APT-C-06）组织利用Thinmon后门框架的多起攻击活动揭秘

Darkhotel （APT-C-06）组织利用 Thinmon后门框架的多起攻击活动揭秘概要 2020年3月期间， 360安全大脑发现并披露了涉半岛地区 APT组织 Darkhotel （APT-C- 06）利用 VPN软件漏洞攻击我国政府机构和驻外机构的APT攻击行动。在攻击行动中 Darkhotel （APT-C-06）组织使用了一系列新型的后门框架，该后门程序未被外界披露和定义过， 360高级威胁研究院根据攻击组件的文件名将其命名为“ Thinmon”后门框架。通过对 Darkhotel （APT-C-06）组织利用“ Thinmon”后门框架实施攻击活动的追踪，我们发现该组织最早从 2017年就开始利用该后门框架实施了长达三年时间的一系列攻击活动，其攻击意图主要在于长期监控和窃取机密文件，受害者主要集中在我国华北和沿海地区，被攻击目标主要包括政府机构、新闻媒体、大型国企、外贸企业等行业，占比最大的为外贸及涉外机构。在这三年多的时间内，该组织不断更新后门框架，持续对目标发起攻击。受影响情况通过 360安全大脑的遥测发现，受害者用户主要分布在我国东部沿海地区以及靠近朝鲜半岛的地区，这些地区拥有与朝鲜半岛来往距离优势，进而也成为中招用户的主要地区。受害行业涵盖了政府、驻华机构、外贸、新闻媒体等多个行业，其中与贸易有关的企业占比最多达到 1/4，其次是政府机构、新闻媒体，大型国企、高等院校。在今年 3月的VPN 劫持攻击事件中，有多个中国驻外机构受到了攻击。在这些行业近 70%都与外贸和驻外业务相关，涉外人员中招的占比极大。技战术分析根据我们目前的研究发现，该组织的技战术主要分为水坑攻击和漏洞攻击两种方式，攻击的后门程序按功能以插件形式释放和调度。水坑攻击在我们捕获的一例典型的水坑攻击中。受害者是访问韩国某色情网站，并下载带有木马的QuickTime 安装包后中招。该安装包在安装完成后，会将恶意样本（ Loader）释放在 %appdata% 目录并启动，最终加载载荷模块。 Loader Loader（左）和正常播放器（右）签名对比恶意样本（ Loader）运行后会解密一段 shellcode 作为 EnumWindows 的回调函数，最终启动在内存中释放的载荷模块。漏洞攻击 Darkhotel 近年的攻击擅长利用软件平台的总控服务器漏洞，下发执行远程命令、下发木马后门程序，以进一步控制内网主机。利用某安全软件升级漏洞 Ⅰ 2018年上半年，该组织通过入侵某单位的安全软件总控服务器，下发伪装成补丁的木马文件。在持续控制一年后，该组织不间断地针对该单位的终端下发伪装成软件升级包的后门程序。伪装补丁下发的后门程序被伪装成了漏洞升级补丁 KB3928472.exe ，由安全软件主控服务器下发并执行。样本在执行后会调用 ActiveX COM接口执行 JS脚本，释放主模块 (wlbsctrl.dll) 、插件模块(wmdusdt .dat)和用于解密插件的 KEY文件(sublogus.dat )，并创建 ikeext服务持久驻留。伪装升级组件 **update.dll 会伪装成升级组件实现 CMD 命令行回显和文件上传下载功能，同时样本会伪装为腾讯签名。 cmd回显功能文件上传下载功能利用某安全软件升级漏洞 Ⅱ 2018年下半年该组织攻击某单位的另一款安全软件总控服务器后，是通过下发命令执行恶意脚本实施攻击，该恶意脚本通过远程服务器下载 payload和相关插件通过远程命令执行的脚本利用某 OA软件升级漏洞近年来某 OA软件多次被爆出安全漏洞， 2017年该组织利用某 OA软件漏洞对相关单位进行攻击，攻击者通过 OA主控服务器下发执行命令，在计算机上下发命令执行 tmp后缀的 JS恶意脚本，通过一系列解密、释放动作安装后门程序。安装后门程序的恶意 JS脚本利用 VPN软件升级漏洞 2020年初，该组织利用某 VPN软件的升级漏洞再次发起攻击，攻击者事先通过漏洞拿下了VPN服务器，然后将服务端的 VPN客户端升级组件替换为后门程序，并更改了服务端升级配置文件，使用户在启动 VPN客户端时会重新下载伪装成升级程序的后门程序，后门程序会从远程服务器下载执行 shellcode ，最终释放各种不同功能的攻击组件。后门持久化我们在溯源追踪过程中发现，该组织在部署下发各种荷载，采用多种方式实现持久化，并且多次更新相关模块的技术。 IKEEXT 劫持 IKEEXT（IKE和AuthIP IPsec Keyring Modules）是 Windows 操作系统的一个服务。 IKEEXT 服务会试图加载一个不存在的 DLL——“wlbsctrl.dll ”