有声读物,完美世界,女人书籍排行榜

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

朝鮮黑客組織Kimsuky戰(zhàn)術(shù)披露，曝迄今未記錄的惡意組件

APT組織“ Kimsuky”，據(jù)悉最早于2012年開始活動。該組織因為全球性的廣泛攻擊行動而臭名昭著，主要針對韓國智囊團、美國、俄羅斯和歐洲各個國家。

為會寧等地區(qū)用戶提供了全套網(wǎng)頁設(shè)計制作服務(wù)，及會寧網(wǎng)站建設(shè)行業(yè)解決方案。主營業(yè)務(wù)為網(wǎng)站設(shè)計、網(wǎng)站建設(shè)、會寧網(wǎng)站設(shè)計，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務(wù)。我們深信只要達到每一位用戶的要求，就會得到認可，從而選擇與我們長期合作。這樣，我們也可以走得更遠！

目前，Kimsuky已與多達三種迄今未記錄的惡意軟件相關(guān)聯(lián)，其中包括一個信息竊取程序，一個配備了惡意軟件反分析功能的工具，以及一個新的服務(wù)器基礎(chǔ)設(shè)施(與舊的間諜框架有很大的重疊)。

技術(shù)細節(jié)

上周，聯(lián)邦調(diào)查局與國防部和國土安全部聯(lián)合發(fā)布了一份備忘錄，詳細介紹了Kimsuky的技術(shù)細節(jié)。

(1) 初始訪問

大多數(shù)情況下，Kimsuky利用魚叉式網(wǎng)絡(luò)釣魚和社會工程學的技巧來獲得對受害者網(wǎng)絡(luò)的初步訪問。此外，還會利用以安全警報為主題的網(wǎng)絡(luò)釣魚電子郵件、水坑攻擊，通過torrent共享站點分發(fā)惡意軟件，以及指示受害者安裝惡意瀏覽器擴展程序等獲取訪問權(quán)限的手段。

(2) 執(zhí)行

獲得初始訪問權(quán)限后，Kimsuky使用BabyShark惡意軟件和PowerShell或Windows Command Shell執(zhí)行。其中，BabyShark是基于Visual Basic腳本(VBS)的惡意軟件，往往通過包含鏈接或附件的電子郵件傳遞。

(3) 維持權(quán)限

Kimsuky通過使用惡意瀏覽器擴展，修改系統(tǒng)進程，操縱執(zhí)行，使用遠程桌面協(xié)議(RDP)以及更改應(yīng)用程序的默認文件關(guān)聯(lián)等手段，從而獲取登錄名和密碼信息，或在某些應(yīng)用程序允許列表解決方案之外啟動惡意軟件。

(4) 特權(quán)提升

在特權(quán)提升方面，Kimsuky使用的是眾所周知的方法：將腳本放入Startup文件夾，創(chuàng)建和運行新服務(wù)，更改默認文件關(guān)聯(lián)以及注入惡意代碼。

(5) 防御規(guī)避

包括禁用安全工具，刪除文件以及使用Metasploit等。

(6) 憑證訪問

Kimsuky使用合法工具和網(wǎng)絡(luò)嗅探器從Web瀏覽器、文件和鍵盤記錄器中收集相關(guān)憑證。

發(fā)送嵌入BabyShark惡意軟件的電子郵件

新的惡意組件

近幾個月來，Kimsuky被歸因于許多以冠狀病毒為主題的郵件攻擊活動，以郵件中包含的武器化Word文檔為其感染媒介，在受害者計算機上發(fā)起惡意軟件攻擊。

現(xiàn)在，據(jù)Cybereason稱，名為“ KGH_SPY”的模塊化間諜軟件套件有了新功能，可以對目標網(wǎng)絡(luò)進行偵察，捕獲擊鍵并竊取敏感信息。

除此之外，KGH_SPY后門還可以從C2服務(wù)器下載輔助負載，通過cmd.exe或PowerShell執(zhí)行任意命令，甚至可以從Web瀏覽器，Windows憑據(jù)管理器，WINSCP和郵件客戶端中獲取憑據(jù)。

同樣值得注意的是，還發(fā)現(xiàn)了一種名為“ CSPY Downloader”的新惡意軟件，該惡意軟件旨在逃避分析和下載額外有效負載的工具。

最后，研究人員還發(fā)現(xiàn)了在2019-2020年之間注冊的新工具集基礎(chǔ)架構(gòu)，該基礎(chǔ)架構(gòu)與該組織的BabyShark惡意軟件重疊。

不同Kimsuky域的基礎(chǔ)結(jié)構(gòu)圖及其之間的重疊

最后，雖然這次活動的受害者仍不清楚，但有線索表明，這些基礎(chǔ)設(shè)施針對的是處理侵犯人權(quán)行為的組織。未來，Kimsuky可能會針對許多行業(yè)、組織和個人進行攻擊。

當前文章：朝鮮黑客組織Kimsuky戰(zhàn)術(shù)披露，曝迄今未記錄的惡意組件
文章分享：http://m.fisionsoft.com.cn/article/dhgpopi.html

新聞中心

其他資訊