朝鲜的“Kimsuky”威胁参与者正在竭尽全力确保他们的恶意有效载荷仅由有效目标下载,而不是安全研究人员的系统上。
根据今天发布的卡巴斯基报告,该威胁组织自 2022 年初以来一直在采用新技术过滤无效下载请求,当时该组织发起了针对朝鲜半岛各种目标的新活动。
Kimsuky 实施的新保护措施非常有效,以至于卡巴斯基报告称即使在它们成功连接到威胁参与者的命令和控制服务器后也无法获取最终有效载荷。
阶段验证方案
卡巴斯基发现的攻击始于发送给朝鲜和韩国的政治家、外交官、大学教授和记者的网络钓鱼电子邮件。
得益于检索到的包含目标部分电子邮件地址的 C2 脚本,卡巴斯基能够编译出潜在目标列表。
卡巴斯基衍生的潜在目标
这些电子邮件包含一个链接,该链接将受害者带到第一阶段 C2 服务器,该服务器在传递恶意文档之前检查并验证一些参数。如果访问者与目标列表不匹配,则为他们提供无害的文档。
参数包括访问者的电子邮件地址、操作系统(Windows 有效)和第二阶段服务器丢弃的文件“[who].txt”。
同时将访问者的IP地址转发给二级C2服务器作为后续的校验参数。
第一阶段 C2 丢弃的文档包含一个恶意宏,该宏将受害者连接到第二阶段 C2,获取下一阶段有效负载,并使用 mshta.exe 进程运行它。
发送给目标的一些文件 (卡巴斯基)
有效负载是一个 .HTA 文件,它还为自动执行创建计划任务。它的功能是通过检查 ProgramFiles 文件夹路径、AV 名称、用户名、操作系统版本、MS Office 版本、.NET 框架版本等来分析受害者。
指纹结果存储在一个字符串(“chnome”)中,一个副本被发送到 C2,一个新的有效载荷被获取并使用持久性机制注册。
下一个有效载荷是一个 VBS 文件,可以将受害者带到合法博客,或者,如果它们是有效目标,则将它们带到下一个有效载荷下载阶段。
在感染的每个步骤都执行 C2 检查 (卡巴斯基)
“有趣的是,这个 C2 脚本会根据受害者的 IP 地址生成一个博客地址。在计算受害者 IP 地址的 MD5 哈希后,它会截掉最后 20 个字符并将其转换为博客地址,”卡巴斯基详细说。
“作者的意图是为每个受害者运营一个专门的虚假博客,从而减少他们的恶意软件和基础设施的暴露。”
这是在检查受害者系统是否存在异常的“chnome”字符串时,该字符串被故意拼错以用作仍然不会引起怀疑的唯一验证器。
Kimsuky最新感染过程 (卡巴斯基)
不幸的是,卡巴斯基无法从这里继续并获取下一阶段的有效负载,因此这是否是最后一个或是否有大多数验证步骤仍然未知。
Kimsuky 是一个非常老练的威胁攻击者,最近有人看到它部署自定义恶意软件并使用Google Chrome 扩展程序窃取受害者的电子邮件。
卡巴斯基强调的活动说明了韩国黑客采用的复杂技术来阻碍分析并使他们的跟踪更加困难。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » “Kimsuky”黑客如何确保他们的恶意软件只到达有效目标
