卡巴斯基撰文解釋"Kimsuky"黑客如何確保其惡意軟件精準到達有效目標


朝鮮'Kimsuky'威脅行為者正在不遺餘力地確保他們的惡意有效載荷隻被有效目標下載,而不是在安全研究人員的系統上。根據卡巴斯基今天發佈的一份報告,自2022年開始,該威脅組織一直在采用新技術來過濾無效的下載請求,當時該組織針對朝鮮半島的各種目標發起新的活動。

Kimsuky實施的新保障措施非常有效,卡巴斯基報告說,即使在成功連接到威脅者的指揮和控制服務器之後,也無法獲得最終的惡意軟件載荷。

卡巴斯基發現的攻擊始於向朝鮮和韓國的政治傢、外交官、大學教授和記者發送的釣魚郵件。由於檢索到含有部分目標電子郵件地址的C2腳本,卡巴斯基能夠編制一份潛在目標的清單。

這些電子郵件包含一個鏈接,將受害者帶到一個第一階段的C2服務器,該服務器在提供惡意文件之前檢查和驗證一些參數。如果訪問者不符合目標列表,他們會得到一個無害的文件。

這些參數包括訪問者的電子郵件地址、操作系統(Windows是有效的),以及由第二級服務器投放的文件"[who].txt"。

同時,訪問者的IP地址被轉發給第二階段的C2服務器,作為後續檢查參數。

第一階段C2投放的文件包含一個惡意的宏,將受害者連接到第二階段C2,獲取下一階段的有效載荷,並通過mshta.exe進程運行。

發送給目標的一些文件

該有效載荷是一個.HTA文件,它也創建一個自動執行的計劃任務。它的功能是通過檢查ProgramFiles文件夾路徑、反病毒軟件名稱、用戶名、操作系統版本、MS Office版本、.NET框架版本等,對受害者進行特征分析。

指紋結果被存儲在一個字符串("chnome")中,一個副本被發送到C2,一個新的有效載荷被獲取並在一個持久性機制中註冊。

下一個有效載荷是一個VBS文件,可以把受害者帶到一個完全正常的博客,或者,如果識別出他們是有效的目標,就把他們帶到有效載荷下載階段。

感染的每一步都會進行C2檢查

"有趣的是,這個C2腳本根據受害者的IP地址生成一個博客地址。在計算受害者IP地址的MD5哈希值後,它切斷最後的20個字符,並把它變成一個博客地址,"卡巴斯基詳細說明。

"作者在這裡的意圖是為每個受害者操作一個專門的假博客,從而減少他們的惡意軟件和基礎設施的暴露。"

這時,受害者的系統會被檢查是否存在不尋常的"chnome"字符串,該字符串是故意拼錯的,作為一個獨特的驗證器,仍然不會引起懷疑。

Kimsuky的感染過程

不幸的是,卡巴斯基無法從這裡繼續下去,獲取下一階段的有效載荷,所以這是否會是最後一個,或者是否有大多數驗證步驟,仍然是未知數。

Kimsuky是一個非常復雜的威脅行為者,最近被看到部署定制的惡意軟件和使用Google瀏覽器擴展來竊取受害者的電子郵件。

卡巴斯基強調的活動展示出朝鮮黑客為對抗安全研究機構的分析並使他們的追蹤變得更加困難而采用的精心設計的技術。


相關推薦

2022-09-17

根據卡巴斯基的最新報告,有黑客通過YouTube針對遊戲玩傢來傳播惡意軟件。一旦感染該惡意軟件,黑客就可以從受害者的系統中竊取各種憑據,然後再使用它們來欺騙更多用戶。2020 年 3 月,卡巴斯基發現一種捆綁多種惡意程序

2022-07-02

本周四,卡巴斯基的安全團隊發佈瞭一份令人擔憂的報告。報告指出在Exchange服務器上發現瞭一個全新的、難以檢測的後門。這種名為SessionManager的惡意軟件於2022年初首次被發現。Exchange 被全球多個國傢的政府、醫療機構、軍事

2023-04-12

全研究人員經常發現它們隱藏在Google的官方Play商店中。卡巴斯基的一份新報告表明,被黑的PlayStore應用正變得越來越復雜。在本周發表的一份新報告中,安全公司卡巴斯基描述一個暗網市場,提供用Android惡意軟件和間諜軟件入

2022-09-07

的誘餌。根據端點安全供應商和消費者 IT 安全軟件公司卡巴斯基的一份新報告,Mojang Studios 開發的熱門沙盒遊戲《我的世界》(Minecraft)在黑客使用最多的遊戲。《我的世界》經常被黑客用來向全球不同用戶投放惡意軟件。具

2022-07-27

反病毒廠商卡巴斯基的一支安全威脅研究團隊近日發現名為“CosmicStrand”的惡意程序。事實上,這款惡意程序並不是新病毒,而且曾在2016-2017年爆發“SpyShadow”木馬的更早版本。目前在華碩和技嘉的固件中發現這款UEFI惡意程序

2022-08-07

安全研究人員發現一種名為"黑暗公用事業"的新服務,它為網絡犯罪分子提供一種簡單而廉價的方式,為其惡意行動建立一個指揮和控制(C2)中心。DarkUtilities服務為威脅者提供一個支持Windows、Linux和基於Pytho

2022-09-01

發文件下載的元數據。安全研究人員在他們的博客文章中解釋說,下載 URL 的目的地進一步試圖偽裝成合法的 Microsoft 網絡鏈接。打開文檔後,自動下載腳本會保存惡意代碼。然後代碼會自動執行自身以執行其預期的工作。隨後

2023-04-13

並通過公開信息等方式威脅用戶支付贖金。根據網絡安全卡巴斯基報告中的信息,目前該漏洞已經被黑客利用,並被主要用於攻擊位於中東、北美和亞洲的中小企業的Windows設備。目前,微軟在最新的安全公告中表示,已經在Win10

2024-02-01

率可能會更高,從而使用戶易受攻擊。Mandiant 在其博客中解釋如何檢測感染。

2024-03-16

據卡巴斯基安全實驗室發佈的最新報告,該實驗室檢測到有用戶下載的Notepad++(或者分叉版本Notepad--)攜帶病毒,進行針對性分析後卡巴斯基安全實驗室發現黑客竟然在百度搜索上付費投放廣告來誘導用戶下載。一般來說 Notepad++

2024-02-07

攻擊目標,或者可以被濫用來進行攻擊。這位安全專傢還解釋說,黑客正在不斷探測每個聯網設備的漏洞,因此設備軟件/固件制造商與網絡犯罪分子之間確實存在著軍備競賽。Fortinet 公司最近將一臺"未受保護"的個人電

2022-07-01

其原理展開深入分析。好消息是,在上周的一篇文章中,卡巴斯基在SecureList網站上分享瞭其對多款勒索軟件的調查報告,並揭示瞭一些常見的攻擊模式。(來自:Kaspersky)卡巴斯基重點介紹瞭八款活躍度勒索軟件,並指出幕後

2022-07-22

件制造商聯系起來。據悉,作為一傢總部位於特拉維夫的黑客雇傭公司,Candiru(又稱SaitoTech)與此前被卷入醜聞的NSOGroup非常相似,主要向政府客戶提供強大的間諜軟件。(來自:Avast)盡管 Candiru 冠冕堂皇地宣稱,其軟件旨在

2022-06-26

Bitdefender、Avast、趨勢科技、賽門鐵克、Malwarebytes、ESET、卡巴斯基、F-Secure、Sophos、EMSIsoft。列表如下:Trend MicroBitDefender AVAST F-SecureMcAfee360 SecurityCitrixSymantecMorphisecMalwarebytesCheckpointAhnlabCylanceSophosCyberArkCitrixBullGuardPanda Securi