Kimsuky，别名Mystery Baby、Baby Coin、Smoke Screen、Black Banshe等，奇安信内部跟踪编号为APT-Q-2。Kimsuky最早由卡巴斯基于2013年公开披露并命名，攻击活动最早可追溯至2012年，是疑似具有东亚国家背景的APT组织。该组织主要攻击目标为韩国，涉及国防、教育、能源、政府、医疗以及智囊团等领域，以机密信息窃取为主。通常使用社会工程学、鱼叉邮件、水坑攻击等手段投递恶意软件，拥有功能完善的恶意代码武器库。Kimsuky至今一直处于活跃状态，从2018年开始频繁开展了多起针对韩美两国特定领域人员的攻击活动 【1】 。

　　近期，在美韩联合演习这一背景下，我们监测到大量来自Kimsuky组织的攻击，从攻击样本来看，使用pif、hwp、doc等文件做为诱饵进行初始攻击，后续载荷包括其常使用的AppleSeed、PebbleDash等木马。

　　近日，奇安信红雨滴团队在日常高价值样本狩猎过程中，捕获到多例Kimsuky组织针对韩国地区的攻击样本。根据红雨滴研究人员跟踪分析，此次的攻击活动有如下特点：

　　1. 使用PIF可执行文件格式伪装成PDF文件，后续载荷为PebbleDash木马；

　　2. 部分样本诱饵被韩国DRM软件加密，疑似由Kimsuky组织在其他攻击活动中所窃取，用于实施定向攻击；

　　样本实际为PIF可执行程序，使用PDF图标进行伪装，其功能为Dropper程序，释放诱饵和加载后续载荷执行。其样本内的字符串均使用自定义的算法进行加密，执行时通过解密字符串从而获取API函数地址，其解密函数如下。

　　分析发现，该解密函数以及使用的Key与去年我们在《Kimsuky武器库更新：利用新冠疫情为诱饵针对韩国地区的攻击活动分析》 【2】 一文中披露的相同，使用类似base64的映射表来进行解密，其python版本的解密代码如下：

　　样本读取文件自身数据，异或解密后在C:\ProgramData\目录下写入诱饵文件和后续载荷。

　　随后获取函数ShellExecuteW地址，调用打开诱饵xlsx文档以迷惑受害者。

　　解密的xlsx文档包含文件头“SCDSA002”，该文件很有可能经韩国的DRM产品加密处理过，由此推测有可能是Kimsuky组织在其他攻击活动中窃取的文件，用来作为诱饵针对特定人群实施定向攻击。

　　执行的Thumbs.db.pif载荷实际为PebbleDash木马，该木马是NukeSped变种木马之一，过去被认为是Lazarus组织所使用的恶意代码，但去年被发现与Kimsuky常用的AppleSeed木马一起用于攻击。美国CISA分析报告将其初代木马命名为PebbleDash 【3】 ，其相关信息如下：

　　样本启动后会校验参数个数，当未携带参数时直接退出程序，在单独执行该样本时，可有效躲避沙箱的动态行为检测。

　　当启动参数为iFfmHUtawXNNxTHEiAAN时，首先隐藏错误显示框。然后判断参数个数，当大于等于3时，则会触发特定文件删除功能。写入大量空白数据，进行随机更名后删除文件。

　　值得一提的是，样本使用GetLogicalDrives函数获取当前可用驱动器的数量，然后周期性地感知数量的变化。使用WTSEnumerateSessionsW函数监测目前被激活的会话数量，如果有更多的用户登录到感染系统，或者使用RDP进行原始访问，会监测到会话数量的增加，进而更改全局变量的值以执行命令。

　　样本使用HTTP协议与C2服务器通信，在请求C2时，使用特定字段来查询、发送和接收数据。

　　文档打开后展示内容如下，根据内容可以看出报告来自韩国政府智囊团，这份报告很可能是Kimsuky在之前攻击活动中窃取的文件。

　　一旦启用诱饵文档中的宏，样本将会向C2服务器请求后续载荷，收集受害者机器的相关信息并上传，攻击流程如下所示。

　　写入version.ini文件的VBS代码如下。通过GET请求从目标URL拉取后续，并直接执行响应内容中包含的代码。

　　该文件的内容也是VBS代码，功能是从C2服务器拉取后续并执行，请求的URL与version.ini一样，但请求的参数有所不同，为”query=6”。

　　文件内容写入后，调用代码中的Reg函数注册计划任务，从而执行上述被释放的VBS脚本。计划任务以”Microsoft”的名义创建，在5天后开始执行，执行间隔为60分钟。

　　从Lib.php下载回来的是Powershell脚本，脚本的模块名称为GetInfo，有一个参数”ur”，表示通信URL。

　　脚本收集受害者主机的各类信息，并将数据以POST请求的方式回传到ur参数指定URL的show.php页面。

　　值得注意的是，代码使用如下的硬编码User-Agent发起HTTP请求，其中用错误的拼写”Chremo””Edgo”表示”Chrome”和”Edge”。国外友商在近期的一篇报告中提到Kimsuky通过这种方式验证请求是否来自受害者机器 【4】 。

　　根据216[.]189.154.6这个IP，我们发现了一个使用双扩展名进行伪装的VBS样本，基本信息如下：

　　该样本在运行后会释放带加密保护的诱饵文档，同时在受害者毫无察觉的情况下加载一个轻量级后门，执行流程如下所示。

　　VBS代码首先base64解码诱饵文档数据，将其释放后打开，再经过解码并按字节异或0x8d解密得到DLL数据，保存为文件”wg5Du.iWJ446”，通过如下命令启动DLL，最后执行自删除操作清除VBS文件。

　　在VBS代码最后实际上还有另一段PE文件数据，不过这段PE数据在代码中并未被使用。按照同样的方法解密这部分数据，发现该PE其实是由被释放的DLL数据复制9次拼接而来。

　　释放的诱饵文档不能直接打开，并且头部带有”SCDSA002”字样，很可能经过韩国的DRM产品加密，也意味着这可能是之前被窃取的文档。

　　释放的DLL实际是个加载器，其入口点函数通过AES解密得到另一段DLL数据，然后直接内存加载并调用该DLL的入口点函数。

　　因为加载器DLL是通过regsvr32.exe启动的，所以它的导出函数DllRegisterServer也会被调用。该函数会调用被加载DLL偏移0xB2F0处的函数，而这个偏移值是被加载DLL的DllRegisterServer导出函数所在位置。

　　内存中加载的DLL为一个轻量级后门，导出函数DllRegisterServer执行持久化操作，入口点函数与C2服务器进行通信。

　　后门DLL中使用的字符串一般通过异或解密恢复，异或的key为字符串第一字节或前两字节（ASCII字符串的key为1字节，宽字符串的key为2字节）。异或方式有两种：一种是直接异或key，另一种是异或key与序号之和。

　　在循环中，线服务器发送一个POST请求作为上线服务器有响应，且响应内容首字节为字符”1”，则继续进行后续操作，否则休眠3秒。

　　调用函数sub_18000AA70创建额外两个线服务器请求指令并进行指令分发，另一个线程将CMD shell中的命令执行结果回传给C2服务器。

　　宏文档样本与ASEC在今年5月披露的Kimsuky样本攻击流程一致 【5】 。

　　Kimsuky组织是一个十分活跃的组织，长期针对韩国政府、新闻机构等目标发起攻击活动。其通常使用社会工程学、鱼叉邮件、水坑攻击等手段投递恶意软件，拥有功能完善的恶意代码武器库。此次捕获的攻击活动也可以看出该组织攻击手法灵活多变，武器库层出不穷，是攻击能力较强的APT团伙。

　　奇安信红雨滴团队在此提醒广大用户，切勿打开社交媒体分享的来历不明的链接，不点击执行未知来源的邮件附件，不运行夸张标题的未知文件，不安装非正规途径来源的APP。做到及时备份重要文件，更新安装补丁。

　　若需运行，安装来历不明的应用，可先通过奇安信威胁情报文件深度分析平台（）进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。

　　目前，基于奇安信威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、奇安信天狗漏洞攻击防护系统、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等，都已经支持对此类攻击的精确检测。