Kimsuky APT 组织利用 Powershell 负载传播 XWorm RAT

研究人员发现曹县APT组织 Kimsuky 发起的复杂攻击活动，该组织利用精心设计的 PowerShell 负载来传播危险的 XWorm 远程访问木马 (RAT)。

这个与曹县APT组织改进了攻击策略，利用高度混淆的 PowerShell 脚本作为初始感染媒介来建立对受害者系统的持续访问，同时逃避传统的安全防御措施。

XWorm RAT为攻击者提供了全面的远程控制功能，包括文件操作、键盘记录、屏幕捕获和命令执行。

通过与命令和控制 (C2) 服务器通信，该恶意软件接收指令并泄露敏感数据，使其成为 Kimsuky 武器库的有力补充。

使用 PowerShell（一种合法的管理工具）使该组织能够绕过许多主要关注可执行文件的传统安全解决方案。

安全研究员Shubho57在分析了归因于 Kimsuky 和 XWorm RAT 的两个 PowerShell 负载后，注意到了这次攻击的复杂性。

通过细致的逆向工程，Shubho57发现这两个有效载荷都是 Base64 编码的，旨在与受害者系统建立远程桌面协议 (RDP) 连接，从而绕过虚拟机管理程序的安全控制。

此次活动的影响不仅限于直接的数据窃取，因为 RAT 提供了持久的访问权限，有助于长期的情报收集。

分析揭示了一条多阶段的复杂攻击链，该攻击链以编码的 PowerShell 脚本开始，从 C2 服务器下载并执行其他有效负载。

此次攻击利用包含多个 cmd[.]exe 和 PowerShell[.]exe 实例的进程树以及合法的 Windows 二进制文件（一种称为 Living-off-the-Land 二进制文件和脚本 (LOLBAS) 的技术）来逃避检测。当受害者执行混淆的 PowerShell 脚本时，感染过程就开始了。

初始脚本采用复杂的规避技术，包括通过内联 C# 代码实现的窗口隐藏功能。成功执行后，该脚本与两个主要 C2 服务器通信：185.235.128.114 和 92.119.114.128。

该恶意软件会下载其他组件，首先检索诱饵 PDF 文件来分散受害者的注意力，同时恶意活动在后台继续进行。随后，它会下载 UnRAR.exe 以及包含核心有效载荷的受密码保护的压缩文件。

提取的文件 eworvolt.exe 和 enwtsv.exe 被多次执行，可能是为了确保持久性并实现不同的恶意目标。最后阶段涉及创建和执行一个额外的 PowerShell 脚本，该脚本在运行时绕过执行策略以保持访问权限。

技术报告：

https://medium.com/@shubhandrew/analysis-of-kimsuky-apt-group-powershell-payloads-one-of-them-attributed-to-xworm-rat-ea8a96ea53fe

新闻链接：

https://cybersecuritynews.com/kimsuky-apt-group-uses-using-powershell-payloads/