1.概述

近期，安天CERT（安天应急响应中心）在梳理安全事件时，发现一例伪装成韩国互联网安全局（KISA）研究员针对韩国新闻行业重要人物进行鱼叉钓鱼的网络攻击活动，经研判分析，此次活动来自Kimsuky组织。Kimsuky是一个疑似来源于半岛方向的网络间谍组织，其至少自 2012 年以来一直保持活跃。该组织的最初攻击目标主要是韩国的政府、军队、外交、智囊团以及各领域专家，如今已扩展覆盖至欧美、俄罗斯、日本等亚洲国家和地区，其情报收集活动的重点也从最初的与半岛方向相关外交政策和国家安全问题拓展到数字货币等领域。

此次钓鱼攻击手法可总结如下：攻击者首先通过老版本的BBS论坛程序漏洞入侵一批网站，上传Webshell控制网站服务器用作跳板，挂载功能脚本和待分发的载荷。然后攻击者发送鱼叉式钓鱼邮件，等待受害者的机器中招后下载跳板上的载荷，执行后可获得受害机器的系统信息、文件和凭证等重要数据。

2.攻击流程分析

经过分析还原，推测攻击流程如下：攻击者首先通过BBS漏洞入侵了网站，然后上传Webshell及其他攻击活动中所需要的组件到web服务器，web服务器作为跳板机，实现发送邮件、接收受害者信息、提供恶意载荷下载等功能。最后攻击者构造钓鱼邮件投递到目标机诱导用户执行，攻击者可通过Webshell获取收集到的受害者信息。

图 2‑1 攻击流程示意图

3.钓鱼邮件分析

表 3‑1二进制可执行文件

此次攻击活动目标为驻韩-韩国境内的Daily NK代表，攻击者向其发送标题可译为“210813_Business Contact (Cyber Safety)”的钓鱼邮件，钓鱼邮件中仅包含了一个含有恶意宏的doc附件。

表 3‑2邮件信息

钓鱼邮件的内容如下所示。

图 3‑1 钓鱼邮件

值得注意的是，该附件打开时需要密码，等目标邮件询问正确的密码时，攻击者将回复补充密码。仿冒真实案例[1]，此次行动中回复的内容大致为“我很抱歉，先生。看来我犯了一个错误。密码是cyber08^。谢谢。Dongwook Kim 高级研究员。”

图 3‑2 附件打开时需要密码

图 3‑3 攻击者回复补充密码[1]

攻击者以文档创建于早期Word版本作为借口，诱导目标启用宏。

图 3‑4 诱导目标启用宏

文档中的宏代码主要实现两部分功能，一部分用于显示出文档中的诱饵内容，另一部分用于从服务端下载恶意载荷并执行。

图 3‑5 文档中的宏代码

正文诱饵内容大致以韩国网络振兴院的口吻描述智能手机感染恶意程序的应对方法，以增强文档的可信性。

图 3‑6 显示出的诱饵内容

创建1589989024.xml文件到模板路径下，并通过调用wscript.exe来执行xml中的vbscript代码，VBScript代码用于从服务端下载恶意载荷并执行。代码内容如下：

图 3‑7 下载恶意载荷的代码

图 3‑8 xml文件内容

分析过程中载荷已被删除，因此无法对后续载荷进行分析，但参考以往同源样本可估测后续实现的功能主要如下[2]：

1)  将VBAWarnings数据添加到MS Office注册表中以此更改安全功能。

2)  构造特定的http数据头，并将收集的信息（系统信息、进程列表、最近访问的文件等）经过Base64编码后传回跳板机。

3)  设置计划任务用于执行跳板机中的其它恶意代码。

4)  执行经过Base64编码的PowerShell脚本，运行带有恶意的键盘记录功能，以记录用户的键盘输入。

图 3‑9 击键记录功能的Powershell脚本[2]

4.跳板机分析

4.1 Webshell分析

经过研判，载荷分发服务器的性质为跳板机，通过扫描发现某目录下存在Webshell，根据服务器运行内容判断攻击者可能通过BBS漏洞入侵，得手后上传Webshell来对服务器进行操作，包括上传工具脚本和处理日志结果。

对Webshell分析发现其采用的是嵌套的gzinflate和base64_decode做加密：

图 4‑1 Webshell代码

该工具可能为Kimsuky组织自研的Webshell工具，能够获取网站服务器的操作系统版本、操作系统名、主机名、cpu型号、IP地址等信息，具备目录选择及文件的下载、重命名、删除、查看、上传等功能。

图 4‑2 Webshell界面

在对网站文件排查时发现日志文件中记录如下信息，猜测在攻击过程中如果检测到目标存在分析行为，会自动删除所有文件。

图 4‑3 文件删除的日志

4.2 发件工具分析

跳板机中的其余恶意文件已被删除，只观察到其中部分php文件。发现遗留的php文件中包含可能为该组织自有的发件工具，将该发件工具插入到跳板机的web目录中，设置好可用来操纵跳板机发送邮件。

图 4‑4 轻量级邮件发送工具

4.3 受害日志分析

跳板机会将受害者主机的信息存放到文件中，此行为猜测应为上述宏文档下载的后续恶意载荷所具备的功能。文件中收集的信息包括：基础系统信息、反病毒产品列表、特殊文件夹下的文件-最近编辑或打开的、进程列表信息。受害机中的文件名中含有许多“报道资料”、“平泽”字样以及许多时事新闻内容，以此推测受害者是一名韩国人，且且应是新闻从业人员。

图 4‑5 收集到的受害者信息

根据对收集到的日志、邮件等信息进行分析，我们发现连接Webshell的IP与鱼叉邮件中的发件IP一致(192.203.145.*)。查询到该IP地址归属于韩国建国大学，其只曾开放过3389端口且当前已关闭，无法继续分析，猜测其可能是攻击者攻陷的跳板机。

图 4‑6 发送鱼叉邮件的IP所指向的主机

5 威胁框架映射

本次系列攻击活动共涉及ATT&CK框架中9个阶段的13个技术点，具体行为的技术特点分布图如下：

图 5‑1 技术特点对应ATT&CK的映射

具体的ATT&CK技术行为描述表如下：

表5-1 ATT&CK技术行为描述表

6.总结

Kimsuky组织作为半岛方向的APT组织，一直保持着很高的活跃度，其对热点事件尤其是军事政治和外交等相关的事件保持较高的关注，该组织在攻击过程中体现出轻量化、多阶段脚本载荷的特点，以避免检测或延迟分析时间。此次攻击活动与以往攻击活动相似，均是入侵网站将其作为跳板机同受害机通信，此类攻击手法能够在一定程度上减少暴露的可能。

附录：参考资料

[1]       북한 해킹조직 ‘탈륨’, KISA 직원까지 사칭…전방위 공격

https://www.dailynk.com/20210817-4/

[2]     탈륨조직, 국내 블록체인 기업 체불확인원 문서로 공격 수행

https://blog.alyac.co.kr/3458

1.概述

近期，安天CERT（安天应急响应中心）在梳理安全事件时，发现一例伪装成韩国互联网安全局（KISA）研究员针对韩国新闻行业重要人物进行鱼叉钓鱼的网络攻击活动，经研判分析，此次活动来自Kimsuky组织。Kimsuky是一个疑似来源于半岛方向的网络间谍组织，其至少自 2012 年以来一直保持活跃。该组织的最初攻击目标主要是韩国的政府、军队、外交、智囊团以及各领域专家，如今已扩展覆盖至欧美、俄罗斯、日本等亚洲国家和地区，其情报收集活动的重点也从最初的与半岛方向相关外交政策和国家安全问题拓展到数字货币等领域。

此次钓鱼攻击手法可总结如下：攻击者首先通过老版本的BBS论坛程序漏洞入侵一批网站，上传Webshell控制网站服务器用作跳板，挂载功能脚本和待分发的载荷。然后攻击者发送鱼叉式钓鱼邮件，等待受害者的机器中招后下载跳板上的载荷，执行后可获得受害机器的系统信息、文件和凭证等重要数据。

2.攻击流程分析

经过分析还原，推测攻击流程如下：攻击者首先通过BBS漏洞入侵了网站，然后上传Webshell及其他攻击活动中所需要的组件到web服务器，web服务器作为跳板机，实现发送邮件、接收受害者信息、提供恶意载荷下载等功能。最后攻击者构造钓鱼邮件投递到目标机诱导用户执行，攻击者可通过Webshell获取收集到的受害者信息。

图 2‑1 攻击流程示意图

3.钓鱼邮件分析

表 3‑1二进制可执行文件

此次攻击活动目标为驻韩-韩国境内的Daily NK代表，攻击者向其发送标题可译为“210813_Business Contact (Cyber Safety)”的钓鱼邮件，钓鱼邮件中仅包含了一个含有恶意宏的doc附件。

表 3‑2邮件信息

钓鱼邮件的内容如下所示。

图 3‑1 钓鱼邮件

值得注意的是，该附件打开时需要密码，等目标邮件询问正确的密码时，攻击者将回复补充密码。仿冒真实案例[1]，此次行动中回复的内容大致为“我很抱歉，先生。看来我犯了一个错误。密码是cyber08^。谢谢。Dongwook Kim 高级研究员。”

图 3‑2 附件打开时需要密码

图 3‑3 攻击者回复补充密码[1]

攻击者以文档创建于早期Word版本作为借口，诱导目标启用宏。

图 3‑4 诱导目标启用宏

文档中的宏代码主要实现两部分功能，一部分用于显示出文档中的诱饵内容，另一部分用于从服务端下载恶意载荷并执行。

图 3‑5 文档中的宏代码

正文诱饵内容大致以韩国网络振兴院的口吻描述智能手机感染恶意程序的应对方法，以增强文档的可信性。

图 3‑6 显示出的诱饵内容

创建1589989024.xml文件到模板路径下，并通过调用wscript.exe来执行xml中的vbscript代码，VBScript代码用于从服务端下载恶意载荷并执行。代码内容如下：

图 3‑7 下载恶意载荷的代码

图 3‑8 xml文件内容

分析过程中载荷已被删除，因此无法对后续载荷进行分析，但参考以往同源样本可估测后续实现的功能主要如下[2]：

1)  将VBAWarnings数据添加到MS Office注册表中以此更改安全功能。

2)  构造特定的http数据头，并将收集的信息（系统信息、进程列表、最近访问的文件等）经过Base64编码后传回跳板机。

3)  设置计划任务用于执行跳板机中的其它恶意代码。

4)  执行经过Base64编码的PowerShell脚本，运行带有恶意的键盘记录功能，以记录用户的键盘输入。

图 3‑9 击键记录功能的Powershell脚本[2]

4.跳板机分析

4.1 Webshell分析

经过研判，载荷分发服务器的性质为跳板机，通过扫描发现某目录下存在Webshell，根据服务器运行内容判断攻击者可能通过BBS漏洞入侵，得手后上传Webshell来对服务器进行操作，包括上传工具脚本和处理日志结果。

对Webshell分析发现其采用的是嵌套的gzinflate和base64_decode做加密：

图 4‑1 Webshell代码

该工具可能为Kimsuky组织自研的Webshell工具，能够获取网站服务器的操作系统版本、操作系统名、主机名、cpu型号、IP地址等信息，具备目录选择及文件的下载、重命名、删除、查看、上传等功能。

图 4‑2 Webshell界面

在对网站文件排查时发现日志文件中记录如下信息，猜测在攻击过程中如果检测到目标存在分析行为，会自动删除所有文件。

图 4‑3 文件删除的日志

4.2 发件工具分析

跳板机中的其余恶意文件已被删除，只观察到其中部分php文件。发现遗留的php文件中包含可能为该组织自有的发件工具，将该发件工具插入到跳板机的web目录中，设置好可用来操纵跳板机发送邮件。

图 4‑4 轻量级邮件发送工具

4.3 受害日志分析

跳板机会将受害者主机的信息存放到文件中，此行为猜测应为上述宏文档下载的后续恶意载荷所具备的功能。文件中收集的信息包括：基础系统信息、反病毒产品列表、特殊文件夹下的文件-最近编辑或打开的、进程列表信息。受害机中的文件名中含有许多“报道资料”、“平泽”字样以及许多时事新闻内容，以此推测受害者是一名韩国人，且且应是新闻从业人员。

图 4‑5 收集到的受害者信息

根据对收集到的日志、邮件等信息进行分析，我们发现连接Webshell的IP与鱼叉邮件中的发件IP一致(192.203.145.*)。查询到该IP地址归属于韩国建国大学，其只曾开放过3389端口且当前已关闭，无法继续分析，猜测其可能是攻击者攻陷的跳板机。

图 4‑6 发送鱼叉邮件的IP所指向的主机

5 威胁框架映射

本次系列攻击活动共涉及ATT&CK框架中9个阶段的13个技术点，具体行为的技术特点分布图如下：

图 5‑1 技术特点对应ATT&CK的映射

具体的ATT&CK技术行为描述表如下：

表5-1 ATT&CK技术行为描述表

6.总结

Kimsuky组织作为半岛方向的APT组织，一直保持着很高的活跃度，其对热点事件尤其是军事政治和外交等相关的事件保持较高的关注，该组织在攻击过程中体现出轻量化、多阶段脚本载荷的特点，以避免检测或延迟分析时间。此次攻击活动与以往攻击活动相似，均是入侵网站将其作为跳板机同受害机通信，此类攻击手法能够在一定程度上减少暴露的可能。

附录：参考资料

[1]       북한 해킹조직 ‘탈륨’, KISA 직원까지 사칭…전방위 공격

https://www.dailynk.com/20210817-4/

[2]     탈륨조직, 국내 블록체인 기업 체불확인원 문서로 공격 수행

https://blog.alyac.co.kr/3458

1.概述

近期，安天CERT（安天应急响应中心）在梳理安全事件时，发现一例伪装成韩国互联网安全局（KISA）研究员针对韩国新闻行业重要人物进行鱼叉钓鱼的网络攻击活动，经研判分析，此次活动来自Kimsuky组织。Kimsuky是一个疑似来源于半岛方向的网络间谍组织，其至少自 2012 年以来一直保持活跃。该组织的最初攻击目标主要是韩国的政府、军队、外交、智囊团以及各领域专家，如今已扩展覆盖至欧美、俄罗斯、日本等亚洲国家和地区，其情报收集活动的重点也从最初的与半岛方向相关外交政策和国家安全问题拓展到数字货币等领域。

此次钓鱼攻击手法可总结如下：攻击者首先通过老版本的BBS论坛程序漏洞入侵一批网站，上传Webshell控制网站服务器用作跳板，挂载功能脚本和待分发的载荷。然后攻击者发送鱼叉式钓鱼邮件，等待受害者的机器中招后下载跳板上的载荷，执行后可获得受害机器的系统信息、文件和凭证等重要数据。

2.攻击流程分析

经过分析还原，推测攻击流程如下：攻击者首先通过BBS漏洞入侵了网站，然后上传Webshell及其他攻击活动中所需要的组件到web服务器，web服务器作为跳板机，实现发送邮件、接收受害者信息、提供恶意载荷下载等功能。最后攻击者构造钓鱼邮件投递到目标机诱导用户执行，攻击者可通过Webshell获取收集到的受害者信息。

图 2‑1 攻击流程示意图

3.钓鱼邮件分析

表 3‑1二进制可执行文件

此次攻击活动目标为驻韩-韩国境内的Daily NK代表，攻击者向其发送标题可译为“210813_Business Contact (Cyber Safety)”的钓鱼邮件，钓鱼邮件中仅包含了一个含有恶意宏的doc附件。

表 3‑2邮件信息

钓鱼邮件的内容如下所示。

图 3‑1 钓鱼邮件

值得注意的是，该附件打开时需要密码，等目标邮件询问正确的密码时，攻击者将回复补充密码。仿冒真实案例[1]，此次行动中回复的内容大致为“我很抱歉，先生。看来我犯了一个错误。密码是cyber08^。谢谢。Dongwook Kim 高级研究员。”

图 3‑2 附件打开时需要密码

图 3‑3 攻击者回复补充密码[1]

攻击者以文档创建于早期Word版本作为借口，诱导目标启用宏。

图 3‑4 诱导目标启用宏

文档中的宏代码主要实现两部分功能，一部分用于显示出文档中的诱饵内容，另一部分用于从服务端下载恶意载荷并执行。

图 3‑5 文档中的宏代码

正文诱饵内容大致以韩国网络振兴院的口吻描述智能手机感染恶意程序的应对方法，以增强文档的可信性。

图 3‑6 显示出的诱饵内容

创建1589989024.xml文件到模板路径下，并通过调用wscript.exe来执行xml中的vbscript代码，VBScript代码用于从服务端下载恶意载荷并执行。代码内容如下：

图 3‑7 下载恶意载荷的代码

图 3‑8 xml文件内容

分析过程中载荷已被删除，因此无法对后续载荷进行分析，但参考以往同源样本可估测后续实现的功能主要如下[2]：

1)  将VBAWarnings数据添加到MS Office注册表中以此更改安全功能。

2)  构造特定的http数据头，并将收集的信息（系统信息、进程列表、最近访问的文件等）经过Base64编码后传回跳板机。

3)  设置计划任务用于执行跳板机中的其它恶意代码。

4)  执行经过Base64编码的PowerShell脚本，运行带有恶意的键盘记录功能，以记录用户的键盘输入。

图 3‑9 击键记录功能的Powershell脚本[2]

4.跳板机分析

4.1 Webshell分析

经过研判，载荷分发服务器的性质为跳板机，通过扫描发现某目录下存在Webshell，根据服务器运行内容判断攻击者可能通过BBS漏洞入侵，得手后上传Webshell来对服务器进行操作，包括上传工具脚本和处理日志结果。

对Webshell分析发现其采用的是嵌套的gzinflate和base64_decode做加密：

图 4‑1 Webshell代码

该工具可能为Kimsuky组织自研的Webshell工具，能够获取网站服务器的操作系统版本、操作系统名、主机名、cpu型号、IP地址等信息，具备目录选择及文件的下载、重命名、删除、查看、上传等功能。

图 4‑2 Webshell界面

在对网站文件排查时发现日志文件中记录如下信息，猜测在攻击过程中如果检测到目标存在分析行为，会自动删除所有文件。

图 4‑3 文件删除的日志

4.2 发件工具分析

跳板机中的其余恶意文件已被删除，只观察到其中部分php文件。发现遗留的php文件中包含可能为该组织自有的发件工具，将该发件工具插入到跳板机的web目录中，设置好可用来操纵跳板机发送邮件。

图 4‑4 轻量级邮件发送工具

4.3 受害日志分析

跳板机会将受害者主机的信息存放到文件中，此行为猜测应为上述宏文档下载的后续恶意载荷所具备的功能。文件中收集的信息包括：基础系统信息、反病毒产品列表、特殊文件夹下的文件-最近编辑或打开的、进程列表信息。受害机中的文件名中含有许多“报道资料”、“平泽”字样以及许多时事新闻内容，以此推测受害者是一名韩国人，且且应是新闻从业人员。

图 4‑5 收集到的受害者信息

根据对收集到的日志、邮件等信息进行分析，我们发现连接Webshell的IP与鱼叉邮件中的发件IP一致(192.203.145.*)。查询到该IP地址归属于韩国建国大学，其只曾开放过3389端口且当前已关闭，无法继续分析，猜测其可能是攻击者攻陷的跳板机。

图 4‑6 发送鱼叉邮件的IP所指向的主机

5 威胁框架映射

本次系列攻击活动共涉及ATT&CK框架中9个阶段的13个技术点，具体行为的技术特点分布图如下：

图 5‑1 技术特点对应ATT&CK的映射

具体的ATT&CK技术行为描述表如下：

表5-1 ATT&CK技术行为描述表

6.总结

Kimsuky组织作为半岛方向的APT组织，一直保持着很高的活跃度，其对热点事件尤其是军事政治和外交等相关的事件保持较高的关注，该组织在攻击过程中体现出轻量化、多阶段脚本载荷的特点，以避免检测或延迟分析时间。此次攻击活动与以往攻击活动相似，均是入侵网站将其作为跳板机同受害机通信，此类攻击手法能够在一定程度上减少暴露的可能。

附录：参考资料

[1]       북한 해킹조직 ‘탈륨’, KISA 직원까지 사칭…전방위 공격

https://www.dailynk.com/20210817-4/

[2]     탈륨조직, 국내 블록체인 기업 체불확인원 문서로 공격 수행

https://blog.alyac.co.kr/3458

历经资格审核、专家评审等环节，2021“补天杯”破解大赛正式公布结果：洞见安全实验室、白帽子rn_01、gml_sec团队发现的民用级产品漏洞分获一二三等奖；白帽子“Peanuts”发现的某国际厂商打印机漏洞经过专家评审获得企业级赛道二等奖；白帽子“w0rker”凭借提交的防火墙和WAF漏洞，一人独揽企业级赛道一等奖和三等奖，在“补天杯”破解大赛中尚属首次。

物联网漏洞发掘渗透到更加精细的领域。在2021“补天杯”破解大赛中，选手提报的漏洞除了常见的企业级防火墙、WAF、NAS、路由器等传统IT设备外，还涉及到智能手环、代步机器人等直接关联用户日常生活方式的智能家居产品。

越来越多的物联网安全风险正在受到关注。作为常见的办公设备，打印机可以直接连接存有重要信息的电脑设备，其安全性却一直被忽视；而原本用于方便老年人出行的代步机器人，可能会因为受到攻击而突然加速3倍、展开折叠，直接威胁人身安全。白帽子们也敏锐的关注到了这些精细化的产品领域。

不难发现，物联网攻击已成为攻击主流方向之一。Palo Alto IoT 发布的《互联企业：2021 年物联网安全报告》指出，新冠肺炎疫情及其影响使保持物联网设备安全变得更加困难。Forrester Consulting编写的《北美企业物联网安全状况：失控和不安全》也显示，84%的安全专业人士认为物联网设备比计算机更容易受到攻击。

随着数以亿计的终端设备接入物联网，必然会暴露更多安全隐患。“补天杯”破解大赛相关负责人表示，物联网攻击已进入实质性阶段，白帽子们也越来越多的注意到相应领域。希望通过“补天杯”大赛搭建起平台，引起企业厂商对网络安全的重视并主动提升自身安全能力，推动智能制造产业发展；同时鼓励白帽人才发展，促进网络安全人才培养，为网络强国建设培养力量。

“补天杯”破解大赛主办方补天漏洞响应平台，是专注于漏洞响应的第三方公益平台。截止目前，补天漏洞响应平台入驻白帽专家数量超过92000位，报告漏洞总数超过79.5万，影响企业数量近24.6万家。截至11月，补天漏洞响应平台今年已向国家信息安全漏洞共享平台（CNVD）报送漏洞超8万个、向国家互联网应急中心（CNCERT）报送漏洞近12万个。同时，补天漏洞响应平台已连续三届入选CNCERT网络安全应急服务国家级支撑单位，2017年至2020年对CNVD贡献最多的中文漏洞响应平台，已成为重要机构和企事业单位漏洞响应的重要保障力量。