北京
兩起高度定制的網(wǎng)絡(luò)攻擊,兩種以假亂真的入口偽裝。2026年3月到4月間,朝鮮國家級黑客組織Kimsuky(又稱Velvet Chollima)對韓國軍方與大型企業(yè)發(fā)動一連串定向滲透,其利用安全軟件安裝頁和在線會議頁面的欺騙手法,刷新了社會工程攻擊的細致程度。
安全機構(gòu)ENKI本周公布的報告還原了攻擊邏輯:Kimsuky沿著一條精心修飾的信任鏈,先仿冒韓國企業(yè)消息服務(wù)的安全軟件下載站,再虛構(gòu)Webex會議攝像頭排障界面,讓受害者以為正在處理日常工作,實則一步步落入木馬分發(fā)鏈條。ENKI指出,這種“偽裝安全更新”的策略自2023年起就被反復(fù)使用,而此次還加入了調(diào)用真實會議日程的細節(jié),欺騙性更強。
3月行動的攻擊頁面直接模擬了一款韓國B2B消息軟件的安全工具下載區(qū),頁面列出防火墻和鍵盤安全程序。目標(biāo)一旦點擊,會得到文件名不同的兩個可執(zhí)行程序——“nos-setup.exe”與“astx-setup.exe”,分別偽裝成nProtect Online Security和AhnLab Safe Transaction(ASTx)。盡管名稱各異,兩者的惡意邏輯完全一致:啟動后釋放第二階段DLL載荷MemLoader.dll,通過regsvr32.exe加載,緊接著運行批處理腳本把原可執(zhí)行文件從磁盤上抹除。
MemLoader.dll借助計劃任務(wù)在主機扎根,隨后向命令與控制(C2)服務(wù)器發(fā)起聯(lián)系,等待下發(fā)未知的下一階段載荷。ENKI判斷,攻擊者很可能在后臺監(jiān)控惡意軟件發(fā)出的周期性GET請求,只向特定受害對象定向投遞后續(xù)工具,借以降低暴露面。
進入4月,誘餌切換成Cisco Webex的虛假頁面。頁面上彈出一條關(guān)于攝像頭訪問異常的提示,催促受害者下載并運行腳本“修復(fù)問題”。壓縮包解開后是一個加密的JSE文件“fix-camera.jse”,通過PowerShell啟動后釋放中間下載器mTSTCv8.mdxm。該下載器先執(zhí)行反分析檢測,再連接C2服務(wù)器獲取下一階段惡意代碼engine.dat或spyInster.dll,最終由cacheMon.dat加載器把完整功能的遠程訪問木馬HTTPSpy裝入系統(tǒng)。
HTTPSpy在功能上幾乎等同于一整套間諜工具箱:執(zhí)行shell命令、上傳下載文件、抓取屏幕截圖、向指定進程注入DLL路徑,還能在完成任務(wù)后自我擦除。Kimsuky對這套工具的持續(xù)打磨,把偽裝韓國安全軟件的慣用手法擴展到了虛擬會議場景,使得入侵動作更貼合日常運維習(xí)慣。
站在企業(yè)消息管理員或會議組織者的角度看,這些攻擊恰好嵌入了日常的軟件更新與線上排障流程。表面上是安全合規(guī)的加固動作,實則是層層遞進的木馬投送。攻擊者沒有依賴零日漏洞,而是用細致的頁面仿冒與流程偽裝,把每一次點擊都變成了潛入內(nèi)網(wǎng)的跳板。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
