【安全资讯】疑似Kimsuky针对韩国军工行业的攻击

引言

研究人员发现疑似Kimsuky针对韩国军工行业的攻击。 Kimsuky 是位于朝鲜的APT组织,又名(Mystery Baby, Baby Coin, Smoke Screen, BabyShark, Cobra Venom)等，最早由Kaspersky在2013年披露，该组织长期针对于韩国的智囊团、政府外交、新闻组织、教育学术组织等进行攻击，在过去几年里，他们将攻击目标扩大到包括美国、俄罗斯和欧洲各国在内的国家。主要目的为窃取情报、间谍活动等。该组织十分活跃，常用的攻击载荷为带有漏洞的hwp文件、恶意宏文件、释放载荷的PE文件等。

简况

在攻击活动中，Kimsuky组织的PE样本将图标伪装成微软相关的产品，诱使用户点击，用户打开后将展示正常的诱饵文档，同时连接远程地址执行后续后门操作。样本启动后创建名为"windows update {2021-1020-02-03-A}"的互斥体防止多开，互斥体中暴露出明显的时间日期,但是与时间戳信息并不匹配，在这里更多的可能代表着后门的版本信息。随后启动以下4个线程，完成主要后门操作：

在第二个线程中将释放诱饵文档，文档名称为《2021年项目采购计划》，文档中采购订单的单位多为空军、陆军等，加上文档为hwp格式（韩国主流文字处理软件Hangul Office专用的文档格式，也是政府使用的标准文档格式之一）。因此研究人员推测此次受攻击的对象为韩国军事机构。文档内容如下图：

关联

此次Kimsuky后门使用的算法与历史攻击使用的算法极为相似，和以往Kimsuky相同，样本中使用的API和字符串均采用加密后的的十六进制形式存储，解密方法较之前有一点差异，历史活动是将字符串的前32位经过str2hex当作key，与后面str2hex的数据进行异或。而这次活动是将字符串的前16位经过str2hex当作key，与后面str2hex的数据进行异或，总体来说变化并不大。