【安全资讯】Kimsuky组织针对大学教授发起鱼叉式钓鱼攻击
引言
Kimsuky是来自朝鲜的黑客组织,自2017年以来一直在进行网络间谍活动。近日,研究人员披露了Kimsuky APT组织近期的鱼叉式网络钓鱼攻击活动,受害者为特定大学的教授。
简况
Kimsuky向研究生院教授分发了doc文件,文件主题为对朝鲜相关手稿的要求。word文档标题中提到的"KIMA"是韩国军事研究所出版的专门从事安全、国防和军事事务的月刊的名称。
恶意word文档从攻击者的服务器下载一个附加命令(VBS(Visual Basic Script)脚本)并在内存中执行。恶意word文档的宏功能和整体操作方法如下:
VBS 代码从用户的 PC 收集并泄露以下信息:
- 基本系统信息(计算机名称、所有者信息、制造商、计算机型号、系统类型)
- 操作系统信息(操作系统、版本、内存容量)
- 处理器信息
- 防病毒产品信息
- 运行进程信息
- 特定文件夹中的文件列表
- 最近打开的 Word 文档的标题
此外,该脚本还会在用户PC“ %AppData%\Microsoft\Templates ”路径中创建一个名为“ OfficeAppManife st_[minute]_[hour]_[day]_[month].ini”的VBS文件。最后,运行脚本的服务被注册为伪装成微软的服务,这可能是为了实现持久性。
失陷指标(IOC)4
这么重要的IOC情报,赶紧
登录
来看看吧~
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享