APT組織“ Kimsuky”，據(jù)悉最早于2012年開始活動。該組織因為全球性的廣泛攻擊行動而臭名昭著，主要針對韓國智囊團、美國、俄羅斯和歐洲各個國家。

目前，Kimsuky已與多達三種迄今未記錄的惡意軟件相關聯(lián)，其中包括一個信息竊取程序，一個配備了惡意軟件反分析功能的工具，以及一個新的服務器基礎設施(與舊的間諜框架有很大的重疊)。

技術細節(jié)

上周，聯(lián)邦調(diào)查局與國防部和國土安全部聯(lián)合發(fā)布了一份備忘錄，詳細介紹了Kimsuky的技術細節(jié)。

(1) 初始訪問

大多數(shù)情況下，Kimsuky利用魚叉式網(wǎng)絡釣魚和社會工程學的技巧來獲得對受害者網(wǎng)絡的初步訪問。此外，還會利用以安全警報為主題的網(wǎng)絡釣魚電子郵件、水坑攻擊，通過torrent共享站點分發(fā)惡意軟件，以及指示受害者安裝惡意瀏覽器擴展程序等獲取訪問權限的手段。

(2) 執(zhí)行

獲得初始訪問權限后，Kimsuky使用BabyShark惡意軟件和PowerShell或Windows Command Shell執(zhí)行。其中，BabyShark是基于Visual Basic腳本(VBS)的惡意軟件，往往通過包含鏈接或附件的電子郵件傳遞。

(3) 維持權限

Kimsuky通過使用惡意瀏覽器擴展，修改系統(tǒng)進程，操縱執(zhí)行，使用遠程桌面協(xié)議(RDP)以及更改應用程序的默認文件關聯(lián)等手段，從而獲取登錄名和密碼信息，或在某些應用程序允許列表解決方案之外啟動惡意軟件。

(4) 特權提升

在特權提升方面，Kimsuky使用的是眾所周知的方法：將腳本放入Startup文件夾，創(chuàng)建和運行新服務，更改默認文件關聯(lián)以及注入惡意代碼。

(5) 防御規(guī)避

包括禁用安全工具，刪除文件以及使用Metasploit等。

(6) 憑證訪問

Kimsuky使用合法工具和網(wǎng)絡嗅探器從Web瀏覽器、文件和鍵盤記錄器中收集相關憑證。

發(fā)送嵌入BabyShark惡意軟件的電子郵件

新的惡意組件

近幾個月來，Kimsuky被歸因于許多以冠狀病毒為主題的郵件攻擊活動，以郵件中包含的武器化Word文檔為其感染媒介，在受害者計算機上發(fā)起惡意軟件攻擊。

現(xiàn)在，據(jù)Cybereason稱，名為“ KGH_SPY”的模塊化間諜軟件套件有了新功能，可以對目標網(wǎng)絡進行偵察，捕獲擊鍵并竊取敏感信息。

除此之外，KGH_SPY后門還可以從C2服務器下載輔助負載，通過cmd.exe或PowerShell執(zhí)行任意命令，甚至可以從Web瀏覽器，Windows憑據(jù)管理器，WINSCP和郵件客戶端中獲取憑據(jù)。

同樣值得注意的是，還發(fā)現(xiàn)了一種名為“ CSPY Downloader”的新惡意軟件，該惡意軟件旨在逃避分析和下載額外有效負載的工具。

最后，研究人員還發(fā)現(xiàn)了在2019-2020年之間注冊的新工具集基礎架構，該基礎架構與該組織的BabyShark惡意軟件重疊。

最后，雖然這次活動的受害者仍不清楚，但有線索表明，這些基礎設施針對的是處理侵犯人權行為的組織。未來，Kimsuky可能會針對許多行業(yè)、組織和個人進行攻擊。

參考來源：

• https://us-cert.cisa.gov/ncas/alerts/aa20-301a
• https://thehackernews.com/2020/11/new-kimsuky-module-makes-north-korean.html