朝鲜APT Kimsuky利用Messenger定向攻击目标

朝鲜关联的高级持续性威胁（APT）组织Kimsuky使用虚假Facebook账户通过Messenger向受害者发送恶意软件。Genians安全中心（GSC）的研究人员识别出了这一新型攻击策略，并与韩国互联网与安全局（KISA）合作进行分析和应对。

攻击手法

Kimsuky组织使用虚假账户冒充韩国公共官员，主要在朝鲜人权领域内，试图通过好友请求和直接消息与北朝鲜及安全相关领域的关键人物建立联系。

攻击链始于盗用韩国某真实人物的身份，然后通过Facebook Messenger联系受害者。攻击者假装与受害者分享他们写的私人文件。这种初始的个人接触类似于基于电子邮件的鱼叉式网络钓鱼攻击策略，但通过Facebook Messenger进行的双向沟通和建立信任显示出Kimsuky APT攻击的大胆程度日益增加。

攻击过程

攻击消息包含一个链接，指向OneDrive上的诱饵文件。这个文件是一个伪装成有关日美韩三边峰会内容的Microsoft Common Console文件。在2024年4月5日，一个名为“NZZ_Interview_Kohei Yamamoto.msc”的诱饵文件被上传到VirusTotal，上传时该恶意软件的检测率为零。

恶意软件行为

一旦受害者打开MSC文件并通过Microsoft管理控制台（MMC）允许其运行，受害者会看到一个包含Word文档的控制台屏幕。如果受害者启动它，多阶段攻击链就会开始。

恶意文件名为“Console Root task window 'Security Mode'”，隐藏了某些窗口样式和选项卡。它通过将任务标记为“Open”并附有描述“My_Essay.docx”误导用户，使其看起来像是文档执行界面。点击“Open”会触发恶意命令，该命令行涉及'cmd.exe'及各种参数，尝试连接到C2主机‘brandwizer.co[.]in’，该域名由印度的Whiteserver托管，IP地址为德国的‘5.9.123.217’。

持久化和数据窃取

恶意软件通过注册一个名为‘OneDriveUpdate’的计划任务保持持久性，该任务每41分钟重复一次。这一时间间隔与Kimsuky组织之前的‘BabyShark’和‘ReconShark’活动一致。恶意软件会收集信息并将其传输到C2服务器，还可以收集IP地址、用户代理字符串和HTTP请求的时间戳信息，并在受感染的机器上投放额外的负载。

总结

根据报告，今年第一季度在韩国报告的APT攻击中，最具代表性的方法是鱼叉式网络钓鱼攻击。此外，结合快捷方式（LNK）类型恶意文件的方法也逐渐流行。尽管没有被广泛报道，通过社交媒体进行的隐蔽攻击也在发生。

 

原文始发于微信公众号（紫队安全研究）：朝鲜APT Kimsuky利用Messenger定向攻击目标