Kimsuky 黑客对日本组织发动了旋风般的网络攻击

名称复杂的文档处于恶意活动的最前沿。

近日，日本计算机反应协调中心（JPCERT）证实，朝鲜黑客组织 Kimsuky 在今年 3 月对日本组织实施了一系列网络攻击。该机构与公众共享信息，这意味着我们可以考虑专家确定的攻击细节和方法。

JPCERT 已确认，

恶意活动首先发送具有安全和外交主题的有针对性的电子邮件。附件包含具有双扩展名的文件，例如“.docx.exe”和“.docx.docx”。文件名中的大量空格隐藏了真正的扩展名，迫使受害者以 Office 文档为幌子运行可执行文件，从而导致其设备被感染。

从外部资源运行诱饵文件后，会下载并执行 VBS 文件，加载 PowerShell 并调用 PokDoc 函数，将收集到的数据发送到攻击者指定的 URL。收集的数据包括有关系统、进程、网络、文件和用户帐户的信息。

VBS PowerShell 网址

发送数据后，将创建并执行另一个名为“desktop.ini.bak”的VBS文件。该文件类似地通过调用 InfoKey 函数充当键盘记录器来加载 PowerShell。有关击键和剪贴板内容的信息将被保存并发送到远程服务器。

攻击模式

攻击模式

值得注意的是，Kimsuky 对韩国的组织使用了类似的攻击方法，包括 VBS 和 PowerShell。这证实 Kimsuky 也是袭击日本组织的幕后黑手。

尽管有关 Kimsuky 攻击日本组织的报道很少，但在日本发生主动攻击的可能性仍然很高。最近的报告表明使用 CHM 文件来执行键盘记录程序，这需要在未来更加关注此类威胁。