微步在线今日捕获到Kimsuky APT组织使用的攻击样本,该文档以“拜登政府企划问卷”为主题进行攻击活动,样本信息如下:
样本A:
| 文件名 |
바이든 행정부 출범 기획설문.doc |
|---|---|
| MD5 |
8ca84c206fe8436dcc92bf6c1f7cf168 |
| SHA1 |
636f2c20183b45691b742949d49b3d6c218c9cce |
| SHA256 |
7943bf9cc7b2adf50f7f92dd37347381e6d0aef23b34a3cd0a3afcda1d72e16d |
| 文件大小 |
134056 字节 (130.91 KB) |
| 最后修改时间 |
2021-01-17 17:04 |
| C&C |
majar.medianewsonline.com |
样本B:
| MD5 |
0d36f4f5a1f7bc7d89fbda02be7c2336 |
|---|---|
| SHA1 |
4c8eedc9e39ff04d9f7e38838dd6aeb375c3eb3b |
| SHA256 |
fd740b70649f06269bf8fe2d0d4fdd87d99606a7a666c4f6a2fc89bee70b6649 |
| 文件大小 |
33373 字节 (32.59 KB) |
| 最后修改时间 |
2021-01-15 10:47 |
| C&C |
connectter.atwebpages.com |
两个样本作者信息一致。
编辑环境均为朝鲜语,并且携带了同样类型的恶意宏诱导用户启用宏,一旦启用将会显示文章内容以达到正常打开文档的假象,同时也会执行恶意VBS脚本代码。
在VBS代码中通过检查系统进程列表和服务列表中的特定字符串来确定主机所安装的杀软信息。
并且检查分析软件目录。
将检测到的杀软信息发送至服务器。
最后从服务器下载恶意模块并加载执行。
添加图片