【安全资讯】Kimsuky在攻击活动中使用PebbleDash后门

引言

近期，研究人员发现Kimsuky组织使用PebbleDash后门的攻击活动，PebbleDash通过过接收攻击者的命令来执行恶意操作。从C&C服务器接收可以执行的命令包括进程和文件操作，以及文件下载和上传功能。

简况

攻击者在鱼叉钓鱼邮件中附带ZIP文件附件，解压后包含一个名为“Jun-Jonggye.pif”的文件，该文件是一种Dropper（释放器），它负责释放名为PebbleDash后门恶意软件。

Dropper释放器会在路径“C:\ProgramData\thumbs.db.pif”里执行PebbleDash后门，并在释放的同时在“C:\ProgramData\semi-public”目录中执行正常的PDF文档，从而完成安装，比达到伪装的目的。

PebbleDash 执行时需要一个参数，在2021 年发现的一个案例中，其实用的字符串是“zWbTLWgKymXMDwZ”和“MskulCxGMCgpGdM”，而本次攻击所使用的参数为“njXbxuRQyujZeUAGGYaH”。

本次发现的PebbleDash 与该组织今年早些时候实用的同名后门大致相同，但还是存在一定的差异。本次的PebbleDash 与过去在执行路径中创建system32文件夹并以名称smss.exe复制并递归执行不同，目前已确认的PebbleDash创建system32文件夹，但以名称lsass.exe安装它。

另外，还识别出该组织使用的VBS恶意软件，它使用mshta.exe从外部下载并执行vbs。并通过该进程下载和执行的另一个 VBS 脚本以进行窃取信息操作，并注册两个任务计划程序，并定期下载和执行命令。