APT組織“ Kimsuky”,據悉最早於2012年開始活動。該組織因為全球性的廣泛攻擊行動而臭名昭著,主要針對韓國智囊團、美國、俄羅斯和歐洲各個國家。
技術細節
上週,聯邦調查局與國防部和國土安全部聯合釋出了一份備忘錄,詳細介紹了Kimsuky的技術細節。
初始訪問
大多數情況下,Kimsuky利用魚叉式網路釣魚和社會工程學的技巧來獲得對受害者網路的初步訪問。此外,還會利用以安全警報為主題的網路釣魚電子郵件、水坑攻擊,透過torrent共享站點分發惡意軟體,以及指示受害者安裝惡意瀏覽器擴充套件程式等獲取訪問許可權的手段。
執行
獲得初始訪問許可權後,Kimsuky使用BabyShark惡意軟體和PowerShell或Windows Command Shell執行。其中,BabyShark是基於Visual Basic指令碼(VBS)的惡意軟體,往往透過包含連結或附件的電子郵件傳遞。
維持許可權
Kimsuky透過使用惡意瀏覽器擴充套件,修改系統程序,操縱執行,使用遠端桌面協議(RDP)以及更改應用程式的預設檔案關聯等手段,從而獲取登入名和密碼資訊,或在某些應用程式允許列表解決方案之外啟動惡意軟體。
特權提升
在特權提升方面,Kimsuky使用的是眾所周知的方法:將指令碼放入Startup資料夾,建立和執行新服務,更改預設檔案關聯以及注入惡意程式碼。
防禦規避
包括禁用安全工具,刪除檔案以及使用Metasploit等。
憑證訪問
Kimsuky使用合法工具和網路嗅探器從Web瀏覽器、檔案和鍵盤記錄器中收集相關憑證。
新的惡意元件
近幾個月來,Kimsuky被歸因於許多以冠狀病毒為主題的郵件攻擊活動,以郵件中包含的武器化Word文件為其感染媒介,在受害者計算機上發起惡意軟體攻擊。
現在,據Cybereason稱,名為“ KGH_SPY”的模組化間諜軟體套件有了新功能,可以對目標網路進行偵察,捕獲擊鍵並竊取敏感資訊。
除此之外,KGH_SPY後門還可以從C2伺服器下載輔助負載,透過cmd.exe或PowerShell執行任意命令,甚至可以從Web瀏覽器,Windows憑據管理器,WINSCP和郵件客戶端中獲取憑據。
同樣值得注意的是,還發現了一種名為“ CSPY Downloader”的新惡意軟體,該惡意軟體旨在逃避分析和下載額外有效負載的工具。
最後,研究人員還發現了在2019-2020年之間註冊的新工具集基礎架構,該基礎架構與該組織的BabyShark惡意軟體重疊。
最後,雖然這次活動的受害者仍不清楚,但有線索表明,這些基礎設施針對的是處理侵犯人權行為的組織。未來,Kimsuky可能會針對許多行業、組織和個人進行攻擊。
參考來源
https://us-cert.cisa.gov/ncas/alerts/aa20-301a
https://thehackernews.com/2020/11/new-kimsuky-module-makes-north-korean.html
【責任編輯:趙寧寧 TEL:(010)68476606】
點贊 0