APT組織“ Kimsuky”,據悉最早於2012年開始活動。該組織因為全球性的廣泛攻擊行動而臭名昭著,主要針對韓國智囊團、美國、俄羅斯和歐洲各個國家。
技術細節
上週,聯邦調查局與國防部和國土安全部聯合發佈了一份備忘錄,詳細介紹了Kimsuky的技術細節。
初始訪問
大多數情況下,Kimsuky利用魚叉式網絡釣魚和社會工程學的技巧來獲得對受害者網絡的初步訪問。此外,還會利用以安全警報為主題的網絡釣魚電子郵件、水坑攻擊,通過torrent共享站點分發惡意軟件,以及指示受害者安裝惡意瀏覽器擴展程序等獲取訪問權限的手段。
執行
獲得初始訪問權限後,Kimsuky使用BabyShark惡意軟件和PowerShell或Windows Command Shell執行。其中,BabyShark是基於Visual Basic腳本(VBS)的惡意軟件,往往通過包含鏈接或附件的電子郵件傳遞。
維持權限
Kimsuky通過使用惡意瀏覽器擴展,修改系統進程,操縱執行,使用遠程桌面協議(RDP)以及更改應用程序的默認文件關聯等手段,從而獲取登錄名和密碼信息,或在某些應用程序允許列表解決方案之外啓動惡意軟件。
特權提升
在特權提升方面,Kimsuky使用的是眾所周知的方法:將腳本放入Startup文件夾,創建和運行新服務,更改默認文件關聯以及注入惡意代碼。
防禦規避
包括禁用安全工具,刪除文件以及使用Metasploit等。
憑證訪問
Kimsuky使用合法工具和網絡嗅探器從Web瀏覽器、文件和鍵盤記錄器中收集相關憑證。
新的惡意組件
近幾個月來,Kimsuky被歸因於許多以冠狀病毒為主題的郵件攻擊活動,以郵件中包含的武器化Word文檔為其感染媒介,在受害者計算機上發起惡意軟件攻擊。
現在,據Cybereason稱,名為“ KGH_SPY”的模塊化間諜軟件套件有了新功能,可以對目標網絡進行偵察,捕獲擊鍵並竊取敏感信息。
除此之外,KGH_SPY後門還可以從C2服務器下載輔助負載,通過cmd.exe或PowerShell執行任意命令,甚至可以從Web瀏覽器,Windows憑據管理器,WINSCP和郵件客户端中獲取憑據。
同樣值得注意的是,還發現了一種名為“ CSPY Downloader”的新惡意軟件,該惡意軟件旨在逃避分析和下載額外有效負載的工具。
最後,研究人員還發現了在2019-2020年之間註冊的新工具集基礎架構,該基礎架構與該組織的BabyShark惡意軟件重疊。
最後,雖然這次活動的受害者仍不清楚,但有線索表明,這些基礎設施針對的是處理侵犯人權行為的組織。未來,Kimsuky可能會針對許多行業、組織和個人進行攻擊。
參考來源
https://us-cert.cisa.gov/ncas/alerts/aa20-301a
https://thehackernews.com/2020/11/new-kimsuky-module-makes-north-korean.html
【責任編輯:趙寧寧 TEL:(010)68476606】
點贊 0