威胁情报 | APT-K-47 武器披露之 Asyncshell 的前世今生

主要观点总结

知道创宇404高级威胁情报团队发现了APT-K-47组织利用“朝觐”话题发起的攻击活动。攻击者利用CHM文件执行恶意载荷，且最终载荷具有Asyncshell的特性。团队追踪了该组织对Asyncshell的多个版本更新，并详细描述了各版本的特点和发现过程。

关键观点总结

关键观点1: APT-K-47组织利用“朝觐”话题发起攻击

攻击者使用CHM文件执行恶意载荷，最终载荷功能简单，仅支持cmd shell，使用异步编程实现。

关键观点2: Asyncshell的多个版本及特点

知道创宇404高级威胁情报团队追踪了APT-K-47使用的Asyncshell的多个版本，包括首次发现、利用CHM执行、从tcp到https的转变、从文件中解密C2等版本变化。

关键观点3: APT-K-47组织的攻击策略变化

该组织使用伪装的服务请求来控制最终shell服务端地址，从之前版本的固定C2变换为可变C2，显示出组织内部对于Asyncshell的重视。

文章预览

作 者： 知道创宇404高级威胁情报团队 时间：2024年11月22日 1 分析概述 参考资料 近期，知道创宇404高级威胁情报团队在日常跟踪APT过程中发现了APT-K-47组织利用“朝觐”话题发起的攻击活动，攻击者利用CHM文件执行相同目录下的恶意载荷。最终载荷功能比较简单，仅支持cmd shell，且使用异步编程实现，这与团队在2023年-2024年上半年的跟踪周期内该组织曾多次使用的“Asynshell”极其相似。根据我们的跟踪观察，此前掌握的Asynshell进行了多个版本的更新，基于代码逻辑和功能，我们有理由怀疑本次捕获样本为升级后的Asynshell。相较于以往，此次样本有如下特点： 利用base64变种算法隐藏字符串。 伪装成正常的网络服务请求来下发C2。 去除大量的log信息。 为方便后续描述，将最新样本记为Asynshell-v4，以下将围绕本次捕获样本以及团队发现Asynshell版本变化 ………………………………