一、攻击活动分析 

1.攻击流程分析

Kimsuky通过伪造 Bandizip 安装包发起钓鱼攻击。用户运行安装包后，表面上会释放并安装正常的 Bandizip 程序以降低怀疑，但后台会远程加载脚本，分阶段下载并执行多层恶意脚本，同时还会释放并运行一个经vmp加壳的恶意载荷用于窃取敏感信息。

2.载荷投递分析

本次捕获样本信息如下所示：

该程序伪装成bandizip的安装包进行下发，程序内部使用大量无用代码进行赋值分配及释放以此来迷惑分析者。

跳过这些垃圾代码，其主要功能有3个。

1）在同目录下释放반디집.exe，该程序实际为BANDIZIP的安装程序。具体做法是读取固定偏移的数据，大小为11555600字节，再通过异或0xDD解密得到。

接着打开释放的반디집.exe，如下所示：

2）通过读取自身数据，然后异或0xDD，得到dll文件，并释放在temp临时目录下。

接着使用regsvr32 /s /n /i:a- 方式注册该dll，从而启动恶意流程。

3）使用mshta远程加载恶意代码执行。

3.攻击组件分析

如上所示本次攻击组件有2种，一是通过mshta加载的恶意脚本，二是注册的恶意dll,下面就这两种组件进行分析说明。

3.1.脚本组件

Mshta远程加载的html文件中有内嵌VBScript代码，如下所示。

解码后发现该恶意脚本存在大量无用代码，并且关键代码隐藏在其中，以此来干扰分析，如下图所示：

去除混淆后，可知该代码的功能是继续远程加载恶意代码执行，远程连接为：http://67.217.62[.]222/microsoft/search?zq=cnNCaG00R3JPNmxaaXIvMUtRaDJ4NjBKNkQ5UDQ5aVZqTDFvL1RBZzIrND0%3D。

远程获取的恶意脚本对其去除无用代码后，如下所示，功能为获取用户信息（如用户名、系统信息、IP地址、网络信息、安装的杀毒软件等），以及"%programfiles%", "%programfiles% (x86)", "%programdata%MicrosoftWindowsStart MenuPrograms", "%appdata%MicrosoftWindowsRecent"等目录下的文件发送到http://67.217.62[.]222/microsoft/search?ta=NmRuVjJlOUttWUFsR2tYR1VQN1duU3JDc2ZKbXkzMzVEYTdUSlJONW5xM2NsNTV0dHQxZksvZFNmTHhEUkwxSitESnBmMVcwVEF4cDZtcmd6SGdoOFBWWXRVQ0cvYjVmZ0dCQXRHKy9WUms9。

接着在%programdata%Uso1目录下创建隐藏文件.Uso1Config.conf，并使用ADS备用数据流写入数据，以此增强隐蔽性。

然后创建计划任务执行该释放文件。

Uso1Config.conf文件去除混淆后如下所示，主要功能是执行post请求返回的数据，类似shell的功能。由于该脚本被用于计划任务加载，实际攻击中可通过这种方式实现多样化攻击。

3.2.PE 组件

通过bandizip installer.exe程序释放的DLL文件导出模块名为“ut_happy(x64).dll”，编译时间是2025-4-18日，是一个具有完整功能的远控程序，并且通过VMProtect进行加壳保护，混淆严重，需要脱壳分析。

在本次攻击中，恶意安装程序首先会通过“regsvr32.exe /s /n /i:a-”执行“ut_happy(x64).dll”，运行后该DLL会将自身释放到指定目录并通过regsvr32.exe程序多次执行，但是所传入的参数并不相同。第一次传入“a-”参数，以安装“ut_happy(x64).dll”模块，简称“install”操作。第二次传入“i-”参数，进行初始化，简称“init”操作，第三次传入“r-”参数，以执行最终的恶意代码，简称“run”操作。

当执行“install”操作时，首先会将自身复制一份到“%AppData%RoamingAppRootapp.package”，然后创建名为“StorageDisk0Partition0”的计划任务，该计划任务的操作是以“i-”作为参数通过“regsvr32.exe”执行“app.package”。

然后通过执行在临时目录下写入随机命名的bat文件，以自删除原始文件。

当执行“init”操作时，“ut_happy(x64).dll”会复制自身到“%AppData%RoamingAppRootapp.package.i”，并以“i-”作为参数执行“app.package.i”。其中“app.package.i”，“app.package”和原始文件是同一个文件。

“run”操作是执行最终的窃密操作，在执行后门功能之前，首先会将RSA密钥，窃密函数地址，窃密函数名称等信息，写入 “HKEY_CURRENT_USERSOFTWAREMicrosoftNotepadIfChar”中。

将C2地址等信息写入到注册表“HKEY_CURRENT_USERSoftwareMicrosoftFTP”中。

然后，该后门会收集例如“BuildNumber”，“Architecture”等系统信息，以及获取该后门的配置信息，如用户ID、C2服务器地址等。

除此之外，该后门主要功能是执行6种不同的信息窃取操作，具体信息如下。

除了执行窃密操作以外，该后门还会执行部分远控功能，例如终止自身，使用 regsvr32注册DLL，收集信息等功能。

 二、归属研判 

通过对样本整体分析，我们发现本次攻击行动与Kimsuky组织之前使用的攻击手段相符合，主要体现在以下几个方面。

1. 脚本行为与历史攻击手法吻合；

在加载的脚本文件中，攻击者会搜集"%programfiles%", "%programfiles% (x86)", "%programdata%MicrosoftWindowsStart MenuPrograms", "%appdata%MicrosoftWindowsRecent"等敏感路径中的文件，该组织此前多次使用类似PowerShell脚本进行目录遍历和信息窃取。 

2. 最终载荷与之前该组织使用的后门同源；

样本最终释放的PE文件使用VMProtect强壳进行混淆，脱壳后分析显示其核心功能属于HappyDoor后门家族^[1]。该家族曾被Kimsuky组织使用，只是之前样本可能未采用VMP加固，此次升级可能旨在规避沙箱或逆向分析。此外载荷运行过程中释放的bat脚本内容与之前也类似。

3. C2基础设施与历史域名模式匹配；

样本连接的C2域名为u.appw.p-e.kr，符合Kimsuky组织惯用的域名格式，历史上多次注册包含p-e.kr 字符串的域名。

4. 语言与上传地址。

伪装的安装包恶意程序会释放真正的安装程序，并以韩文命名（반디집.exe），在结合上传地址为kr，这都与Kimsuky针对韩国目标的攻击历史相符。

综上，将本轮攻击行动归属到APT-C-55（Kimsuky）组织。

MD5：

f4cd4449e556b0580c2282fec1ca661f

d1ec20144c83bba921243e72c517da5e

16d30316a6b700c78d021df5758db775

a6598bbdc947286c84f951289d14425c

07fbf46d3a595a6f82e477ed4571294b

URL：

http://u.appw.p-e[.]kr/index.php

http://d.appz.p-e[.]kr/index.php

http://mrasis.n-e[.]kr/comarov/search

http://67.217.62[.]222/microsoft/app/google

http://67.217.62[.]222/microsoft/search

[1] https://asec.ahnlab.com/en/76800/

原文始发于微信公众号（360威胁情报中心）：APT-C-55（Kimsuky）组织基于VMP强壳的HappyDoor后门攻击分析