疑似Kimsuky APT组织利用韩国外交部为诱饵的攻击活动分析

Kimsuky，别名Mystery Baby，Baby Coin，Smoke Screen，Black Banshe。是疑似具有东亚国家背景的APT组织，该团伙长期针对韩国政府、新闻机构等目标发起攻击活动。与Konni APT组织存在基础设施重叠等关联性。

近日，奇安信红雨滴团队在日常高价值样本狩猎过程中，捕获多例疑似Kimsuky组织的攻击样本，此次捕获的样本以伪装成文档的恶意脚本文件为主，并以2021外交部驻外公馆服役相关情况调查问卷等为诱饵名，诱导受害者打开查看，一旦脚本被打开执行后，将释放展示正常的文档信息迷惑受害者，同时将释放执行远控木马到计算机执行。

红雨滴团队高价值狩猎流程主动识别到APT团队相关样本

此次捕获的样本诱饵名均为韩语，且采用相似的恶意脚本进行攻击，样本基本信息如下：

两例样本执行流程完全一致，此处以样本3a4ab11b25961becece1c358029ba611为例进行分析。该样本后缀为hwp.js，以此迷惑用户点开。

脚本执行后先在本地%ProgramData%路径下新建文件0421.hwp.b64及temp.db.b64并写入base64编码后的数据。

其中0421.hwp.b64为正常（诱饵）文档编码后的数据，temp.db.b64为恶意DLL文件编码后的数据。

之后恶意脚本将通过base64解码释放的文件，并将解码后的0421.hwp移动到当前目录显示以迷惑受害者，同时通过powershell执行命令调用启动temp.db。

接着设置注册表Software\Microsoft\Windows\CurrentVersion\Run下名为WindowsDefenderAutoUpdate的项实现开机自启动，利用regsvr32.exe加载AutoUpdate.dll后自删除。

AutoUpdate.dll启动后创建名为” DropperRegsvr32-20210418013743”的互斥体，防止多开。

互斥体名中的时间结合PE头的时间戳，我们可以猜测该木马在2021年4月18日编译。

之后向onedrive-upload.ikpoo[.]cf以POST方式发送当前上线包，内容包括当前计算机C盘序列号，当前windows版本号，系统位数，当前木马版本号：

//?m=a&p1=C盘序列号&p2=windows版本号及位数-D_Regsvr32-v2.0.74（木马版本号）。

成功“通信”后，该恶意dll将尝试从服务器下载文件到C:ProgramDatatemp目录。

程序将验证下载到本地的文件头部数据是否为“%PDF-1.7..4 0 obj”，若验证成功，则第一次解密到.enc文件：

之后使用该key再进行RSA解密：

后续根据对应的指令执行进程创建、PE解密内存自加载等操作：

奇安信威胁情报中心红雨滴团队结合威胁情报中心ALPHA威胁分析平台（https://ti.qianxin.com/），对此次攻击活动的手法，恶意代码等方面关联分析发现：

此次攻击活动与Kimsuky APT团伙存在高度相似性，脚本样本与Kimsuky以往活动中使用的脚本一致，脚本对比代码如下图所示：

同时释放执行的DLL样本代码结构也与Kimsuky组织常用的木马相似，对比如下图所示。

综上所述，此次捕获的攻击样本幕后团伙应为东亚APT组织Kimsuky。

Kimsuky APT组织是一个长期活跃的攻击团伙，武器库十分强大，奇安信威胁情报中心红雨滴团队将持续关注披露相关攻击活动。同时，奇安信威胁情报中心提醒用户在日常的工作中，切勿随意打开来历不明的文件，不安装未知来源的APP，提高个人网络安全意识。

目前，基于奇安信威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、天擎、天眼高级威胁检测系统、奇安信NGSOC等，都已经支持对此类攻击的精确检测。

3a4ab11b25961becece1c358029ba611

80a2bb7884b8bad4a8e83c2cb03ee343

10b9702f8096afa8c928de6507f7ecfe

14b95dc99e797c6c717bf68440eae720

199674e87f437bdbd68884b155346d25

onedrive-upload.ikpoo[.]cf

alps.travelmountain.ml

http://pootbal.med/ianewsonline.com/ro/ki.txt