APT组织“Kimsuky”,据悉该组织早在2012年就开始活动。韩国智库、美国、俄罗斯和欧洲各国。Kimsuky现在已与多达三个迄今未记录的恶意软件片段相关联,包括一个信息窃取器、一个配备恶意软件反分析功能的工具,以及一个新的服务器基础设施(连接到旧的间谍框架)。技术细节上周,联邦调查局与国防部和国土安全部发布了一份联合备忘录,详细说明了Kimsuky的技术细节。(1)初始访问在大多数情况下,Kimsuky使用鱼叉式网络钓鱼和社会工程技术来获得对受害者网络的初始访问权。此外,以安全警报为主题的网络钓鱼电子邮件、水坑攻击、通过Torrent共享站点分发恶意软件以及指示受害者安装恶意浏览器扩展程序也被用作获取访问权限的手段。(2)执行在获得初始访问权限后,Kimsuky使用BabyShark恶意软件和PowerShell或WindowsCommandShell执行。其中,BabyShark是一种基于VisualBasicSc??ript(VBS)的恶意软件,通常通过包含链接或附件的电子邮件进行传播。(3)维护权限。Kimsuky通过使用恶意浏览器扩展、修改系统进程、操纵执行、使用远程桌面协议(RDP)以及更改应用程序或某些应用程序的默认文件关联来获取登录名和密码信息。程序允许在解决方案列表之外启动恶意软件。(4)权限提升Kimsuky在权限提升方面使用了众所周知的方法:将脚本放入启动文件夹、创建和运行新服务、更改默认文件关联以及注入恶意代码。(5)防御规避包括禁用安全工具、删除文件、使用Metasploit等。(6)凭证访问Kimsuky使用合法工具和网络嗅探器从Web浏览器、文件和键盘记录程序中收集相关凭证。发送嵌入了BabyShark恶意软件的电子邮件新的恶意组件Kimsuky被归因于最近几个月的一些以冠状病毒为主题的电子邮件活动,使用电子邮件中包含的武器化Word文档作为感染媒介,在受害者的计算机上进行恶意软件攻击。现在,根据Cyber??eason的说法,一个名为“KGH_SPY”的模块化间谍软件套件具有新功能,可以对目标网络进行侦察、捕获击键和窃取敏感信息。此外,KGH_SPY后门还可以从C2服务器下载辅助payload,通过cmd.exe或PowerShell执行任意命令,甚至从网页浏览器、WindowsCredentialManager、WINSCP、邮件客户端获取凭证。还值得注意的是,还发现了一种名为“CSPYDownloader”的新恶意软件,旨在逃避分析工具和下载额外的有效载荷。最后,研究人员还发现了2019-2020年间注册的新工具集基础设施,该基础设施与该组织的BabyShark恶意软件重叠。不同Kimsuky域的基础设施图及其重叠最后,虽然这场运动的受害者仍不清楚,但有迹象表明基础设施针对的是处理侵犯人权行为的组织。未来,Kimsuky可能会针对许多行业、组织和个人。参考来源:https://us-cert.cisa.gov/ncas/alerts/aa20-301ahttps://thehackernews.com/2020/11/new-kimsuky-module-makes-north-korean.html
