【安全资讯】Kimsuky组织针对大学教授发起鱼叉式钓鱼攻击

引言

Kimsuky是来自朝鲜的黑客组织，自2017年以来一直在进行网络间谍活动。近日，研究人员披露了Kimsuky APT组织近期的鱼叉式网络钓鱼攻击活动，受害者为特定大学的教授。

简况

Kimsuky向研究生院教授分发了doc文件，文件主题为对朝鲜相关手稿的要求。word文档标题中提到的"KIMA"是韩国军事研究所出版的专门从事安全、国防和军事事务的月刊的名称。

恶意word文档从攻击者的服务器下载一个附加命令（VBS（Visual Basic Script）脚本）并在内存中执行。恶意word文档的宏功能和整体操作方法如下：

VBS 代码从用户的 PC 收集并泄露以下信息：

• 基本系统信息（计算机名称、所有者信息、制造商、计算机型号、系统类型）
• 操作系统信息（操作系统、版本、内存容量）
• 处理器信息
• 防病毒产品信息
• 运行进程信息
• 特定文件夹中的文件列表
• 最近打开的 Word 文档的标题

此外，该脚本还会在用户PC“ %AppData%\Microsoft\Templates ”路径中创建一个名为“ OfficeAppManife st_[minute]_[hour]_[day]_[month].ini”的VBS文件。最后，运行脚本的服务被注册为伪装成微软的服务，这可能是为了实现持久性。