AhnLab 安全情报中心(ASEC)发布的文章《Larva-25004 组织(与 Kimsuky 相关)利用额外证书的案例 - 使用 Nexaweb 证书签名的恶意软件》揭示了与北朝鲜关联的 Kimsuky APT 组织的新恶意软件活动。ASEC 发现了两个使用 Nexaweb Inc. 证书签名的恶意文件,命名为 Larva-25004,文件伪装成工作描述文档,诱骗可能对国防行业工作感兴趣的受害者。
这两个文件的 MD5 哈希值分别为 73d2899aade924476e58addf26254c2e 和 aa8936431f7bc0fabb0b9efb6ea153f9,分别于 2024 年 5 月 24 日和 28 日签名,执行时显示与就业相关的诱饵 PDF 文件。此前使用的 Nexaweb 证书未发现关联恶意软件,新证书的真实性尚未得到 Nexaweb 确认。
此报告凸显了 Kimsuky 持续利用社会工程和证书滥用技术,规避检测并攻击敏感行业。
AhnLab 安全情报中心 (ASEC) 通过调查与 Nexaweb Inc. 认证文件具有相同特征的文件,发现了带有 Nexaweb Inc. 认证签名的恶意软件。有韩国公司证书签署。这些恶意软件样本已被其他公司关于 Kimsuky 集团的活动。
AhnLab 正在追踪它们,并将其命名为 Larva-25004。
使用 Nexaweb 证书签名的恶意软件
发现两个文件,其MD5哈希值如下:
职位描述 (LM HR Division II).pdf.scr : 73d2899aade924476e58addf26254c2e
被称为自动化经理 JD(LM HR II).scr: aa8936431f7bc0fabb0b9efb6ea153f9
这些文件于 2024 年 5 月 24 日和 28 日使用 Nexaweb 证书(序列号:0315e137a6e2d658f07af454c63a0af2)进行签名。
当恶意软件执行时,它会显示一个与就业相关的PDF文件作为诱饵。
确切目标尚不清楚,但考虑到该文件是一个诱饵,它很可能是针对那些有兴趣在国防公司工作的人。
Nexaweb 证书仍然未知
在使用 Nexaweb 之前使用的证书(序列号:28ce4d33e7994c2be95816eea5773ed1)签名的文件中未发现任何恶意软件。
该恶意软件签名的证书仅用于对这两个恶意软件文件进行签名,并未用于对其他文件进行签名。我们已联系 Nexaweb 核实该证书是否为他们的,但尚未收到回复。
MD5
27d4ff7439694041ef86233c2b804e1f
73d2899aade924476e58addf26254c2e
aa8936431f7bc0fabb0b9efb6ea153f9
原文始发于微信公众号(Ots安全):Larva-25004 组织(与 Kimsuky 相关)利用附加证书的案例 - 使用 Nexaweb 证书签名的恶意软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论