Kimsuky是北韓國家支持的駭客組織,其目標是南韓智囊團,工業界,核電運營商和南韓統一部,以進行間諜活動。近年來,Kimsuky已將其業務擴展到俄羅斯,美國和歐洲國家等國家。
雖然他們也是利用釣魚活動,來吸引目標受害者下載惡意程式,不過他們不像一般駭客亂槍打鳥一樣,希望下載惡意程式的人多多益善。Kimsuky他們與眾不同的一點就是他們不遺餘力地確保他們的惡意程式只被「目標受害者」下載,避免其它人下載。
這樣的好處是,當有資安人員也想要下載他們的惡意程式,就可以被擋掉,如此一來可以延後資安人員破解他們惡意軟體的時間。
根據卡巴斯基發佈的一份報告,自2022年開始,該威脅組織一直在採用新技術來過濾這些無效的下載請求。而且他們實施的保障措施非常有效,卡巴斯基報告說,即使在成功連接到威脅者的指揮和控制伺服器之後,也無法獲得最終的惡意軟體下載。
卡巴斯基發現,攻擊始於向北韓和韓國的政治家、外交官、大學教授和記者傳送的釣魚郵件。由於檢索到含有部分目標電子郵件地址的C2指令碼,卡巴斯基能夠編制一份潛在目標的清單。
這些電子郵件包含一個連結,會將受害者帶到一個第一階段的C2伺服器,該伺服器會在提供惡意檔案之前,檢查和驗證一些參數。如果訪問者不符合目標列表,他們會下載一個無害的檔案。
這些參數包括訪問者的電子郵件地址、作業系統(Windows是有效的),以及由第二級伺服器投放的檔案:[who].txt;同時,訪問者的IP地址被轉發給第二階段的C2伺服器,作為後續檢查參數。
第一階段C2投放的檔案包含一個惡意的巨集指令,將受害者連接到第二階段C2,獲取下一階段的有效下載工作,並通過mshta.exe處理程式執行。
該有效下載工作是一個.HTA檔案,它也建立了一個自動執行的工作排程。它的功能是通過檢查ProgramFiles資料夾路徑、反病毒軟體名稱、使用者名稱、作業系統版本、MS Office版本、.NET框架版本等,對受害者進行特徵分析。
指紋結果被儲存在一個字串("chnome")中,一個副本被傳送到C2,一個新的有效載荷被獲取並在一個持久性機制中註冊;下一個有效載荷是一個VBS檔案,可以把受害者帶到一個完全正常的部落格,或者,如果識別出他們是有效的目標,就把他們帶到有效載荷下載階段。
「有趣的是,這個C2指令碼根據受害者的IP地址生成了一個部落格地址。在計算了受害者IP地址的MD5雜湊值後,它切斷了最後的20個字元,並把它變成了一個部落格地址。」卡巴斯基詳細說明。「作者在這裡的意圖是為每個受害者操作一個專門的假部落格,從而減少他們的惡意軟體和基礎設施的暴露。」
這時,受害者的系統會被檢查是否存在不尋常的「chnome」字串,該字串是故意拼錯的,作為一個獨特的驗證器,仍然不會引起懷疑。
不幸的是,卡巴斯基無法從這裡繼續下去,獲取下一階段的有效載荷,所以這是否會是最後一個,或者是否有大多數驗證步驟,仍然是未知數。
Kimsuky是一個非常複雜的威脅行為者,最近被看到部署定製的惡意軟體和使用Google瀏覽器擴充套件來竊取受害者的電子郵件。
卡巴斯基強調的活動展示出北韓駭客為對抗安全研究機構的分析並使他們的追蹤變得更加困難而採用的精心設計的技術。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!