【安全圈】朝鮮黑客通過偽裝Excel文件向制藥公司投放惡意軟件

關鍵詞

惡意軟件

朝鮮政府支持的黑客組織Kimsuky近期針對處方藥制藥企業發起定向攻擊，使用名為"White Life Science ERP Specification"的精心偽裝惡意文件。攻擊者通過偽造Excel文檔誘騙員工運行惡意代碼，從而悄無聲息地獲取受害者系統訪問權限。此次攻擊表明，高級威脅行為體仍在依賴簡單但有效的欺騙手段入侵敏感行業。

該惡意軟件以名為White Life Science ERP Specification.lnk的Windows快捷方式文件形式出現，其圖標被偽裝成Excel表格。當用戶打開這份看似普通的業務文檔時，一系列隱藏腳本將在后臺悄然運行，不留下任何可見感染痕跡。

攻擊手法分析

攻擊者偽裝成一家同時生產非處方藥和處方藥的制藥企業，使誘餌文檔對目標對象顯得專業可信。Wezard4u安全分析師發現，這個.lnk文件實質上是多載荷容器，內含誘餌Excel文件、PowerShell腳本、JavaScript文件以及Windows任務計劃程序XML文件，全部壓縮在一個23,079字節的快捷方式中。

執行后，PowerShell會靜默提取并依次運行每個組件，使感染過程完全隱蔽。完整執行鏈路徑為：LNK→XML→JavaScript→PowerShell，這種設計使得在單個階段檢測攻擊變得極為困難。

行業影響評估

此次攻擊影響重大，因為制藥行業存儲著敏感研究數據、患者記錄和專有藥物配方。Kimsuky長期以學術、政府和研究機構為目標，此次行動標志著其向生命科學領域的明顯擴張。若攻擊成功，黑客可能竊取機密臨床數據或長期監控內部通訊。

安全團隊可通過以下文件特征進行檢測：

• 文件名：White Life Science ERP Specification.lnk

• MD5：5c3bf036ab8aadddb2428d27f3917b86

• SHA-1：e9c16aa2e322a65fc2621679ca8e7414ebcf89c0

• SHA-256：d4c184f4389d710c8aefe296486d4d3e430da609d86fa6289a8cea9fde4a1166

當受害者打開偽造Excel文件時，cmd.exe會通過SysWOW64路徑調用PowerShell，刻意在64位Windows系統上運行32位PowerShell版本，以此規避僅監控64位進程的安全工具。

PowerShell腳本使用XOR 0xC7編碼解密內嵌載荷，將其釋放到名為C:\sysconfigs的隱藏文件夾（該名稱酷似合法Windows系統目錄）。主要保存兩個關鍵文件：作為主載荷的opakib.ps1和作為JavaScript啟動器的copa08o.js。隨后，JavaScript文件被注冊為名為"Avast Secure Browser VPS Differential Update Ex"的計劃任務，偽裝成正常的瀏覽器更新進程。

激活后，opakib.ps1通過官方API連接Dropbox，將其轉為臨時命令控制服務器。它會收集受害者域名、用戶名、操作系統版本、公網IP地址和運行進程列表，使用RC4和Base64編碼后上傳至Dropbox。攻擊者隨后可將自定義命令文件放入Dropbox，由惡意軟件下載并在受感染機器上靜默執行。

防護建議

制藥企業和安全團隊應立即采取以下防護措施：

1. 在Windows設置中啟用文件擴展名顯示功能，避免.lnk文件被誤認為Excel文檔

2. 監控并限制通過SysWOW64路徑執行的PowerShell

3. 定期審計Windows計劃任務中的陌生條目

4. 標記企業網絡內異常的Dropbox API連接

5. 將上述文件哈希值添加到終端檢測平臺，快速識別隔離受感染系統

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！