Kimsuky 是位于朝鲜的APT组织,又名(Mystery Baby, Baby Coin, Smoke Screen, BabyShark, Cobra Venom)等,最早由Kaspersky在2013年披露,该组织长期针对于韩国的智囊团、政府外交、新闻组织、教育学术组织等进行攻击,在过去几年里,他们将攻击目标扩大到包括美国、俄罗斯和欧洲各国在内的国家。主要目的为窃取情报、间谍活动等。该组织十分活跃,常用的攻击载荷为带有漏洞的hwp文件、恶意宏文件、释放载荷的PE文件等。
基本信息
分析
|
线程1 |
无(return 1) |
|
线程2 |
释放诱饵文档运行 |
|
线程3 |
使用 mshta.exe 执行hxxp:// vpn[.]atooi[.]ga/?query=5 |
|
线程4 |
自删除 |
后续DLL
|
MD5 |
FileSize |
Creation Time |
CC |
|
7f4624a8eb740653e2242993ee9e0997 |
306.50 KB (313856 bytes) |
2021-03-17 21:07:57 |
27[.]102.127.240 |
|
d4da4660836d61db95dd91936e7cfa4a |
302.50 KB (309760 bytes) |
2021-03-26 07:21:06 |
27[.]102.127.240 |
两个样本功能基本一致,这里拿 d4da4660836d61db95dd91936e7cfa4a 进行后续分析。
样本执行后,会创建两个互斥体 "windows update {21-1060-01-20-I}"与 "windows update {21-1060-01-20-D}",来确保只有一份实例运行,互斥体的名称猜测为木马的版本信息。
关联
360高级威胁研究院
360高级威胁研究院是360政企安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。
本文始发于微信公众号(360威胁情报中心):疑似Kimsuky针对韩国军工行业的攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论