Kimsuky黑客组织使用Gold Dragon后门攻击韩国实体
2022年1月26日,ASEC分析团队发现Kimsuky集团正在使用xRAT(基于Quasar RAT的开源RAT)恶意软件。
2月8日,研究人员披露了Kimsuky APT组织近期攻击活动的细节。攻击者使用xRAT恶意软件和Gold Dragon恶意软件的新变体,针对韩国的组织进行了有针对性的攻击。此次活动始于2022年1月24日,目前仍在进行中。
Kimsuky黑客组织
Kimsuky是来自朝鲜的黑客组织,也称为TA406,自2017年以来一直在进行网络间谍活动。该组织发起威胁活动多元化,长期从事恶意软件分发、网络钓鱼、数据收集,甚至加密货币盗窃活动。
1月24日,Kimsuky在第一台受感染的PC上安装了Gold Dragon的变种。Gold Dragon是Kimsuky通常在利用隐写术的基于PowerShell的无文件第一阶段攻击之后部署的第二阶段后门。研究人员在这次最新活动中发现的变体具有附加功能,例如泄露基本系统信息。
Kimsuky通过专属安装程序安装(installer_sk5621.com.co.exe)。安装程序从攻击者的服务器下载以Gzip文件形式压缩的Gold Dragon,将其解压缩为“以[随机4个数字]的形式”。然后通过rundll32.exe执行它。
Kimsuky不通过系统进程获取信息,而是额外安装xRAT工具(基于Quasar RAT的开源RAT),执行信息窃取功能。xRAT恶意软件如下:
(xRAT恶意软件)
xRAT工具伪装成一个名为cp1093.exe的可执行文件,它将一个普通的PowerShell进程(powershell_ise.exe)复制到“C:ProgramData”路径并通过进程挖空执行。接下来,安装程序添加一个新的注册表项来为恶意软件有效负载(glu32.dll)建立启动持久性。最后,Kimsuky分发了一个卸载程序(UnInstall_kr5829.co.in.exe),与xRAT一起删除目标PC中存在的攻击痕迹。
