Larva-25004 组织(与 Kimsuky 相关)利用附加证书的案例 - 使用 Nexaweb 证书签名的恶意软件

admin 2025年5月26日09:13:12评论23 views字数 1164阅读3分52秒阅读模式
Larva-25004 组织(与 Kimsuky 相关)利用附加证书的案例 - 使用 Nexaweb 证书签名的恶意软件

AhnLab 安全情报中心(ASEC)发布的文章《Larva-25004 组织(与 Kimsuky 相关)利用额外证书的案例 - 使用 Nexaweb 证书签名的恶意软件》揭示了与北朝鲜关联的 Kimsuky APT 组织的新恶意软件活动。ASEC 发现了两个使用 Nexaweb Inc. 证书签名的恶意文件,命名为 Larva-25004,文件伪装成工作描述文档,诱骗可能对国防行业工作感兴趣的受害者。

这两个文件的 MD5 哈希值分别为 73d2899aade924476e58addf26254c2e 和 aa8936431f7bc0fabb0b9efb6ea153f9,分别于 2024 年 5 月 24 日和 28 日签名,执行时显示与就业相关的诱饵 PDF 文件。此前使用的 Nexaweb 证书未发现关联恶意软件,新证书的真实性尚未得到 Nexaweb 确认。

此报告凸显了 Kimsuky 持续利用社会工程和证书滥用技术,规避检测并攻击敏感行业。

AhnLab 安全情报中心 (ASEC) 通过调查与 Nexaweb Inc. 认证文件具有相同特征的文件,发现了带有 Nexaweb Inc. 认证签名的恶意软件。有韩国公司证书签署。这些恶意软件样本已被其他公司关于 Kimsuky 集团的活动。

AhnLab 正在追踪它们,并将其命名为 Larva-25004。

使用 Nexaweb 证书签名的恶意软件

发现两个文件,其MD5哈希值如下:

职位描述 (LM HR Division II).pdf.scr : 73d2899aade924476e58addf26254c2e

被称为自动化经理 JD(LM HR II).scr: aa8936431f7bc0fabb0b9efb6ea153f9

这些文件于 2024 年 5 月 24 日和 28 日使用 Nexaweb 证书(序列号:0315e137a6e2d658f07af454c63a0af2)进行签名。

当恶意软件执行时,它会显示一个与就业相关的PDF文件作为诱饵。

Larva-25004 组织(与 Kimsuky 相关)利用附加证书的案例 - 使用 Nexaweb 证书签名的恶意软件

确切目标尚不清楚,但考虑到该文件是一个诱饵,它很可能是针对那些有兴趣在国防公司工作的人。

Nexaweb 证书仍然未知

在使用 Nexaweb 之前使用的证书(序列号:28ce4d33e7994c2be95816eea5773ed1)签名的文件中未发现任何恶意软件。

该恶意软件签名的证书仅用于对这两个恶意软件文件进行签名,并未用于对其他文件进行签名。我们已联系 Nexaweb 核实该证书是否为他们的,但尚未收到回复。

MD5

27d4ff7439694041ef86233c2b804e1f

73d2899aade924476e58addf26254c2e

aa8936431f7bc0fabb0b9efb6ea153f9

原文始发于微信公众号(Ots安全):Larva-25004 组织(与 Kimsuky 相关)利用附加证书的案例 - 使用 Nexaweb 证书签名的恶意软件

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月26日09:13:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Larva-25004 组织(与 Kimsuky 相关)利用附加证书的案例 - 使用 Nexaweb 证书签名的恶意软件https://cn-sec.com/archives/4097655.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息