大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号现在只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。
近日,Genians 安全中心 (GSC) 的研究人员发现,朝鲜关联的 Kimsuky APT 组织采用了一种新攻击策略,利用虚假 Facebook 账户通过 Messenger 发送恶意软件。GSC 与韩国互联网与安全局 (KISA) 合作,进行分析和响应。
攻击概述
Kimsuky APT 组织创建了一个冒充南韩公共官员的假账户,这名官员在北韩人权领域工作。该组织通过好友请求和直接消息与北韩及安全领域的关键人物建立联系。
攻击链
攻击链始于窃取南韩某真实人物的身份,然后通过 Facebook Messenger 联系受害者。威胁行为者假装与受害者分享私人文件。
“这种初步的个性化接触类似于基于电子邮件的鱼叉式网络钓鱼攻击策略。然而,通过 Facebook Messenger 进行的相互沟通和信任关系的建立,显示出 Kimsuky APT 攻击的大胆程度日益增加。” GSC 发布的报告中写道。“实际攻击中使用的 Facebook 界面背景照片看似在公共机构拍摄。威胁行为者伪装成公共官员,通过假装分享私人文件来赢得目标的信任。”
这些消息包含一个链接,指向托管在 OneDrive 上的诱饵文件。该文件是一个伪装成与日本、南韩和美国三边峰会相关内容的 Microsoft Common Console 文件。其中一个诱饵文件(‘NZZ_Interview_Kohei Yamamoto.msc’)在 2024 年 4 月 5 日从日本上传到 VirusTotal。
恶意软件分析
上传时,VirusTotal 对该恶意软件的检测率为零。专家推测,APT 组织的目标是日本和南韩的人。
“这是首次观察到针对日本的疑似攻击,然后在不久后在南韩检测到变种。”分析中写道。“如果比较两个恶意文件执行屏幕,可以看到相同的模式。尽管导致执行的文件名不同,但都使用了‘Security Mode’名称。”
当受害者启动 MSC 文件并允许其使用 Microsoft Management Console (MMC) 打开时,会显示一个包含 Word 文档的控制台屏幕。如果受害者启动它,多阶段攻击链就会开始。
持久性和信息窃取
恶意文件名为“Console Root task window ‘Security Mode’”,隐藏了某些窗口样式和选项卡。它通过将任务标记为“Open”并描述为“我的文章.docx”来误导用户,使其看起来像是文档执行屏幕。点击“Open”触发恶意命令。此命令行涉及‘cmd.exe’及各种参数,并试图连接到 C2 主机‘brandwizer.co[.]in’,该主机由位于印度的 Whiteserver 托管,链接到德国的 IP 地址‘5.9.123.217’。
恶意软件通过注册一个名为‘OneDriveUpdate’的计划任务来维持持久性,该任务每 41 分钟无限次重复。这个间隔与 Kimsuky 组织先前活动如‘BabyShark’和‘ReconShark’中使用的时间一致。
恶意软件功能
该恶意软件收集信息并将其传输到 C2 服务器,它还可以收集 IP 地址、User-Agent 字符串和 HTTP 请求的时间戳信息。恶意软件还可以在感染的机器上投放额外的有效载荷。
“在今年第一季度韩国报告的 APT 攻击中,最具代表性的方法是鱼叉式网络钓鱼攻击。此外,结合快捷方式 (LNK) 类型恶意文件的方法也在逐渐流行。虽然不常见,但通过社交媒体进行的隐蔽攻击也时有发生。”报告总结道。
欢迎喜欢文章的朋友点赞、转发、赞赏,你的每一次鼓励,都是我继续前进的动力。
原文始发于微信公众号(紫队安全研究):朝鲜APT Kimsuky通过Messenger攻击目标
