朝鲜黑客攻击制药公司,通过武器化的Excel文件部署恶意软件,窃取敏感数据。
这个恶意文件的特点是 :它这个恶意.lnk文件含多层载荷,通过计划任务隐蔽执行,连接Dropbox窃取信息。
朝鲜国家支持的Kimsuky集团黑客发起了针对处方药公司的针对性攻击,使用了一个巧妙伪装的恶意软件文件,名为White Life Science ERP Specification。
该攻击利用伪造的Excel文档诱使员工运行恶意代码,从而让攻击者能够无声访问受害者的系统。
该活动展示了高级威胁行为者如何继续依赖简单但有效的欺骗手段来攻破敏感行业。
该恶意软件以名为White Life Science ERP Specification.lnk的文件形式出现,这是一个伪装成Excel表格的Windows快捷方式文件。
当用户打开他们认为是常规业务文档时,后台会启动一串隐藏脚本,且没有任何感染迹象。
袭击者似乎冒充一家既生产非处方药又生产处方药的处方药制造商,使诱饵文件对目标显得专业且可信。
Wezard4u分析师识别并仔细检查了该恶意软件,发现.lnk文件作为多负载容器,包含诱饵Excel文件、PowerShell脚本、JavaScript文件和Windows任务调度XML等多个简易代码,全部集中在一个23,079字节的快捷方式中。
执行完成后,PowerShell 会静默地依次提取并运行每个组件,从而对受害者隐藏感染。
整个执行链遵循从 LNK 到 XML 再到 JavaScript 再到 PowerShell 的路径,这使得在任何单个阶段的检测都非常困难。
此次攻击的更广泛影响显著,因为它直接针对制药行业的公司,而制药行业掌握敏感的研究数据、患者记录和专有药物配方。
Kimsuky长期以来一直针对学术、政府和研究机构,此次活动标志着对生命科学领域的明确扩展。
如果攻击者成功站稳脚跟,他们可以窃取机密临床数据,或长时间内悄无声息地监控内部通信。
该恶意软件携带文件标识符,安全团队和分析师可利用这些标识符进行即时检测。
该文件名为White Life Science ERP Specification.lnk
MD5为5c3bf036ab8aadddb2428d27f3917b86
SHA-1为e9c16aa2e322a65fc2621679ca8e7414ebcf89c0
SHA-256为d4c184f4389d710c8aefe296486d4d3e430da609d86fa6289a8cea9fde4a1166。
感染与持续链内幕
这次攻击最技术上有趣的部分是恶意软件如何隐藏其有效载荷并保留访问权限而不触发安全工具。
当受害者打开虚假的Excel文件时,cmd.exe会执行一个长命令,通过SysWOW64路径调用PowerShell,该路径在64位Windows系统上运行32位版本的PowerShell。
这是有意为之,因为在64位机器上运行32位PowerShell是一种已知的方法,用来绕过某些只观察64位进程的安全监控工具。
PowerShell脚本随后通过异或0xC7编码解密嵌入的有效载荷,并将其丢弃到一个名为C:\sysconfigs的隐藏文件夹中,该文件夹的命名与一个合法的Windows系统目录非常相似。
它保存两个关键文件:opakib.ps1 作为主要的 PowerShell 负载,copa08o.js 作为 JavaScript 启动器。
JavaScript文件随后被注册为一个名为“Avast Secure Browser VPS Differential Update Ex”的计划任务,使其看起来完全正常且值得信赖的浏览器更新过程。
一旦激活,opakib.ps1 会通过官方 API 连接到 Dropbox,将其变成一个临时的命令与控制服务器。
它收集受害者的域名、用户名、操作系统版本、公共IP地址和正在运行的进程列表,然后用RC4和Base64编码所有信息,再上传到Dropbox。
攻击者随后可以在Dropbox中放置自定义命令文件,恶意软件会下载该文件并悄无声息地在感染的机器上执行。
安全团队和制药机构应立即在Windows设置中启用文件扩展名可视化,以防止.lnk文件被误认为Excel文档。
通过SysWOW64路径监控和限制PowerShell执行,定期审计Windows调度任务中的任何不熟悉条目,以及标记企业网络中异常的Dropbox API连接,都是关键的保护措施。
将上述文件哈希添加到终端检测平台,有助于快速识别和隔离任何感染系统。
该攻击利用伪造的Excel文档诱使员工运行恶意代码,从而让攻击者能够无声访问受害者的系统。
该活动展示了高级威胁行为者如何继续依赖简单但有效的欺骗手段来攻破敏感行业。
该恶意软件以名为White Life Science ERP Specification.lnk的文件形式出现,这是一个伪装成Excel表格的Windows快捷方式文件。
当用户打开他们认为是常规业务文档时,后台会启动一串隐藏脚本,且没有任何感染迹象。
袭击者似乎冒充一家既生产非处方药又生产处方药的处方药制造商,使诱饵文件对目标显得专业且可信。
Wezard4u分析师识别并仔细检查了该恶意软件,发现.lnk文件作为多负载容器,包含诱饵Excel文件、PowerShell脚本、JavaScript文件和Windows任务调度XML等多个简易代码,全部集中在一个23,079字节的快捷方式中。
执行完成后,PowerShell 会静默地依次提取并运行每个组件,从而对受害者隐藏感染。
整个执行链遵循从 LNK 到 XML 再到 JavaScript 再到 PowerShell 的路径,这使得在任何单个阶段的检测都非常困难。
此次攻击的更广泛影响显著,因为它直接针对制药行业的公司,而制药行业掌握敏感的研究数据、患者记录和专有药物配方。
Kimsuky长期以来一直针对学术、政府和研究机构,此次活动标志着对生命科学领域的明确扩展。
如果攻击者成功站稳脚跟,他们可以窃取机密临床数据,或长时间内悄无声息地监控内部通信。
该恶意软件携带文件标识符,安全团队和分析师可利用这些标识符进行即时检测。
该文件名为White Life Science ERP Specification.lnk
MD5为5c3bf036ab8aadddb2428d27f3917b86
SHA-1为e9c16aa2e322a65fc2621679ca8e7414ebcf89c0
SHA-256为d4c184f4389d710c8aefe296486d4d3e430da609d86fa6289a8cea9fde4a1166。
感染与持续链内幕
这次攻击最技术上有趣的部分是恶意软件如何隐藏其有效载荷并保留访问权限而不触发安全工具。
当受害者打开虚假的Excel文件时,cmd.exe会执行一个长命令,通过SysWOW64路径调用PowerShell,该路径在64位Windows系统上运行32位版本的PowerShell。
这是有意为之,因为在64位机器上运行32位PowerShell是一种已知的方法,用来绕过某些只观察64位进程的安全监控工具。
PowerShell脚本随后通过异或0xC7编码解密嵌入的有效载荷,并将其丢弃到一个名为C:\sysconfigs的隐藏文件夹中,该文件夹的命名与一个合法的Windows系统目录非常相似。
它保存两个关键文件:opakib.ps1 作为主要的 PowerShell 负载,copa08o.js 作为 JavaScript 启动器。
JavaScript文件随后被注册为一个名为“Avast Secure Browser VPS Differential Update Ex”的计划任务,使其看起来完全正常且值得信赖的浏览器更新过程。
一旦激活,opakib.ps1 会通过官方 API 连接到 Dropbox,将其变成一个临时的命令与控制服务器。
它收集受害者的域名、用户名、操作系统版本、公共IP地址和正在运行的进程列表,然后用RC4和Base64编码所有信息,再上传到Dropbox。
攻击者随后可以在Dropbox中放置自定义命令文件,恶意软件会下载该文件并悄无声息地在感染的机器上执行。
安全团队和制药机构应立即在Windows设置中启用文件扩展名可视化,以防止.lnk文件被误认为Excel文档。
通过SysWOW64路径监控和限制PowerShell执行,定期审计Windows调度任务中的任何不熟悉条目,以及标记企业网络中异常的Dropbox API连接,都是关键的保护措施。
将上述文件哈希添加到终端检测平台,有助于快速识别和隔离任何感染系统。
关于作者
评论1次
Kimsuky这波操作没什么新花样,但确实很实用。用.lnk装Excel + SysWOW64绕监控这套组合拳,算是老套路了,在野能过很多乙方的检测产品。
几个关键点值得注意:
Dropbox当C2服务器这招挺绝的,正规云流量在企业网里太常见了,安全设备一般不会拦,告警也容易淹没在人堆里。他们用官方API上传数据,某种意义上也是在利用白名单信任。
那个伪装文件夹名"C:\sysconfigs"确实坑人,名字像xi统目录,不仔细看根本不会怀疑。
如果想防,简单说:
帖子给的那几个哈xi直接丢EDR或者SIEM里跑是最快的,能直接捞到感染主机。
这波本质上还是钓鱼攻击骗员工点击,技术层面没什么太复杂的地方。制药行业的人安全意识普遍一般,社工成功率本来就高。