【安全资讯】Kimsuky组织近期攻击活动分析

引言

Kimsuky APT组织据悉是具有国家背景的先进网络间谍组织，一直针对韩国、俄罗斯等政府机构开展网络威胁间谍活动，窃取高价值情报。近期，研究人员监测到KimsukyAPT组织使用KGH间谍组件、PDF漏洞以及针对韩国新闻工作者的攻击活动。

简况

利用KGH间谍组件攻击

攻击者将KGH间谍木马伪装成“安全组件扩展安装程序”，运行之后将会弹出消息框提示“扩展已添加到Whale浏览器”，Whale浏览器是韩国Naver公司开发的免费网页浏览器，在韩国有一定的市场占有率。实际运行完之后将会安装KGH间谍组件，最终主机被攻击者远程控制。

wed.bat文件的执行流程如下：

• 将%Temp%\dwr.db移动到C:\Windows\System32\winfix.dll；
• 在服务注册表里添加上面服务名称与服务参数键值“ServiceDll”，路径为C:\Windows\System32\winfix.dll；
• 在服务注册表里添加服务描述信息“Windows Management Instrumentation Framework”；
• 创建指定名称的服务项；
• 创建注册表项HKLM\SOFTWARE\Microsoft\.NETNData,sign，值为上面的服务名称，作为感染标记；
• 启动服务；
• 删除bat文件；

经过上述安装流程后，模块 winfix.dll 以服务方式运行，执行后首先在 DllMain 函数中检查宿主进程是否是 svchost，如果不是将会退出流程。接着 ServiceMain 函数启动后，同样会检查感染标记，如果无感染标记将不会进入主流程。加载的模块被命名为“KGH_Backdoor.dll”，得到执行后在 DllMain 函数中首先收集主机信息，包括 UserName、ComputerName、系统平台，样本随后将使用 ComputerName 作为主机 ID。

以个人经历模板为诱饵进行攻击

攻击者疑似以招聘名义向目标发送个人经历文档，文档仅为固定模板格式，本身并不包含实际有效内容，利用模板注入技术，使用多阶段载荷进行攻击。所加载的模板携带了恶意宏，利用 powershell 从远程服务器下载执行脚本，体现了Kimsuky 多阶段载荷的特点。

利用PDF漏洞攻击

Kimsuky以朝韩政府相关话题为诱饵，使用携带PDF漏洞的文档对特定单位进行攻击，当用户通过未更新的AdobeAcrobat程序打开PDF文档触发漏洞后，将安装间谍模块。携带漏洞的PDF文档如下：

PDF 文档内容以相关政府话题为诱饵，携带有 JavaScript 流数据。PDF 文档得到执行后，创建存储在对象缓存中的数据 ESObject，再删除对数据ESObject 对象的引用，但其地址仍在对象缓存中。之后访问对象缓存中已经释放的数据 ESObject 对象，最终触发 UAF 漏洞执行Shellcode，与网络上公开的 CVE-2020-9715 漏洞概念验证代码高度相似。

冒充韩国KISA对新闻工作者进行攻击

Kimsuky冒充KISA（韩国互联网安全局）员工向韩国媒体“朝鲜日报”新闻工作者李光白定向投递钓鱼邮件，同样使用多阶段载荷进行攻击。攻击者以“210813_业务联系（网络安全）”为主题向目标投递钓鱼邮件，冒充的KISA 员工身份容易让目标降低警惕，而邮件中仅包含一个 word 文档附件，并没有其他正文内容。

总结

Kimsuky APT 组织近期一直保持活跃状态，积极进行相关情报搜集工作，其攻击活动呈现多阶段载荷、基础设施高复杂度等特点。Kimsuky 一直在持续开发新的工具以及旧工具的变种，且近期使用多种漏洞针对特定机构进行定向攻击，使用社会工程学方案是 Kimsuky 惯用的攻击手法之一，在整个攻击过程中攻击者使用了多种手段进行反虚拟机、反沙箱、反调试等进行分析对抗。