卡巴斯基撰文解釋"Kimsuky"黑客如何確保其惡意軟件精準到達有效目標

Kimsuky實施的新保障措施非常有效，卡巴斯基報告說，即使在成功連接到威脅者的指揮和控制服務器之后，也無法獲得最終的惡意軟件載荷。

卡巴斯基發現的攻擊始于向朝鮮和韓國的政治家、外交官、大學教授和記者發送的釣魚郵件。由于檢索到含有部分目標電子郵件地址的C2腳本，卡巴斯基能夠編制一份潛在目標的清單。

這些電子郵件包含一個鏈接，將受害者帶到一個第一階段的C2服務器，該服務器在提供惡意文件之前檢查和驗證一些參數。如果訪問者不符合目標列表，他們會得到一個無害的文件。

這些參數包括訪問者的電子郵件地址、操作系統（Windows是有效的），以及由第二級服務器投放的文件"[who].txt"。

同時，訪問者的IP地址被轉發給第二階段的C2服務器，作為后續檢查參數。

第一階段C2投放的文件包含一個惡意的宏，將受害者連接到第二階段C2，獲取下一階段的有效載荷，并通過mshta.exe進程運行。

發送給目標的一些文件

該有效載荷是一個.HTA文件，它也創建了一個自動執行的計劃任務。它的功能是通過檢查ProgramFiles文件夾路徑、反病毒軟件名稱、用戶名、操作系統版本、MS Office版本、.NET框架版本等，對受害者進行特征分析。

指紋結果被存儲在一個字符串（"chnome"）中，一個副本被發送到C2，一個新的有效載荷被獲取并在一個持久性機制中注冊。

下一個有效載荷是一個VBS文件，可以把受害者帶到一個完全正常的博客，或者，如果識別出他們是有效的目標，就把他們帶到有效載荷下載階段。

感染的每一步都會進行C2檢查

"有趣的是，這個C2腳本根據受害者的IP地址生成了一個博客地址。在計算了受害者IP地址的MD5哈希值后，它切斷了最后的20個字符，并把它變成了一個博客地址，"卡巴斯基詳細說明。

"作者在這里的意圖是為每個受害者操作一個專門的假博客，從而減少他們的惡意軟件和基礎設施的暴露。"

這時，受害者的系統會被檢查是否存在不尋常的"chnome"字符串，該字符串是故意拼錯的，作為一個獨特的驗證器，仍然不會引起懷疑。

Kimsuky的感染過程

不幸的是，卡巴斯基無法從這里繼續下去，獲取下一階段的有效載荷，所以這是否會是最后一個，或者是否有大多數驗證步驟，仍然是未知數。

Kimsuky是一個非常復雜的威脅行為者，最近被看到部署定制的惡意軟件和使用Google瀏覽器擴展來竊取受害者的電子郵件。

卡巴斯基強調的活動展示出朝鮮黑客為對抗安全研究機構的分析并使他們的追蹤變得更加困難而采用的精心設計的技術。