Kimsuky
【微步在线情报】捕获APT组织Kimsuky最新攻击样本
微步情报局 2021-01-18 17:53:07 3007人浏览

微步在线今日捕获到Kimsuky APT组织使用的攻击样本,该文档以“拜登政府企划问卷”为主题进行攻击活动,样本信息如下:

样本A:

文件名
바이든 행정부 출범 기획설문.doc
MD5
8ca84c206fe8436dcc92bf6c1f7cf168
SHA1
636f2c20183b45691b742949d49b3d6c218c9cce
SHA256
7943bf9cc7b2adf50f7f92dd37347381e6d0aef23b34a3cd0a3afcda1d72e16d
文件大小
134056 字节 (130.91 KB)
最后修改时间
2021-01-17 17:04
C&C
majar.medianewsonline.com

样本B:

MD5
0d36f4f5a1f7bc7d89fbda02be7c2336
SHA1
4c8eedc9e39ff04d9f7e38838dd6aeb375c3eb3b
SHA256
fd740b70649f06269bf8fe2d0d4fdd87d99606a7a666c4f6a2fc89bee70b6649
文件大小
33373 字节 (32.59 KB)
最后修改时间
2021-01-15 10:47
C&C
connectter.atwebpages.com

两个样本作者信息一致。

图片1.png

编辑环境均为朝鲜语,并且携带了同样类型的恶意宏诱导用户启用宏,一旦启用将会显示文章内容以达到正常打开文档的假象,同时也会执行恶意VBS脚本代码。

图片2.png

在VBS代码中通过检查系统进程列表和服务列表中的特定字符串来确定主机所安装的杀软信息。

图片3.png

并且检查分析软件目录。

图片4.png

将检测到的杀软信息发送至服务器。

图片5.png

最后从服务器下载恶意模块并加载执行。

图片6.png

相关阅读

【微步在线报告】Kimsuky APT组织利用wsf脚本的攻击活动分析

域名(2) 威胁情报数目 子域名 历史指向ip 相关样本 微步标签 < 1/1 >
微步情报局 2021-01-24 18:17:06 回复
匿名用户 2021-01-18 21:38:19 回复
感谢分享