Kimsuky，别名Mystery Baby、Baby Coin、Smoke Screen、Black Banshe等。是疑似具有东亚国家背景的APT组织，该团伙长期针对韩国政府、新闻机构等目标发起攻击活动。该组织常用社会工程学、鱼叉邮件、水坑攻击等手段投递恶意软件，拥有功能完善的恶意代码武器库。与Konni APT组织存在基础设施重叠等关联性。

近日，奇安信红雨滴团队在日常高价值样本狩猎过程中，捕获多例疑似Kimsuky组织的攻击样本。根据红雨滴研究人员跟踪分析，此次的攻击活动有如下特点：

本次捕获的样本打开后都会直接展示诱饵内容，诱导迷惑受害者启用恶意宏。

02 详细分析

本文以MD5：8de75256d0e579416263cb3c61fc6c55为主要分析对象。原始样本为docx格式文件，运行后启用宏，执行恶意宏代码。

通过AutoOpen函数将标志qazwsx置为0，随后通过Selection.TypeText监控文本输入动作,执行恶意VBA函数。仅仅通过打开word是无法执行核心宏代码的，实现了一定的免杀效果。

核心函数的功能是从http[:]//1213rt.atwebpages.com/cohb/d.php?filename=corona下载Base64数据解码后，写入到%Temp%\OneDriver.exe文件中，并使用wcript.ex执行VBS代码。

请求到的数据如下，折叠的Afghhhah函数作为base64解码函数。

以下是VBS执行后的行为

1. 创建并写入名为%appdata%\Microsoft\desktop.ini的VBS文件。
2. 在启动程序路径中创建Internet Explorer的快捷方式文件，%startup%\Internet Explorer.lnk。
3. Internet Explorer快捷方式运行%AppData%\Microsoft\desktop.ini 文件。

以下是desktop.ini的文件内容，请求后https://kimshan600000.blogspot.com/2021/07/1.html，其网页携带的Payload解析，再次base64解码执行载荷。Payload直接嵌入到正文中。

4. 根据历史披露文章，最终后门是收集用户系统信息，侦察受感染的系统。

• 收集进程列表

• 收集操作系统信息

• 收集 .NET 版本信息

• 收集 MicrosoftOffice Excel 程序版本信息

• 收集最近的可执行文件列表

• 收集固定到任务栏的快捷方式列表

• 收集到的信息作为参数发送到攻击者服务器。

而我们此次捕获样本与之前的已知样本在VBA执行流程，代码和攻击载荷落地极其相似。但不同的是，此次是从网络设施中下载载荷，增加了溯源的困难度和增加了查杀难度。

Kimsuky APT组织是一个长期活跃的攻击团伙，武器库十分强大，奇安信威胁情报中心红雨滴团队将持续关注披露相关攻击活动。同时，奇安信威胁情报中心提醒用户在日常的工作中，切勿随意打开来历不明的文件，不安装未知来源的APP，提高个人网络安全意识。

奇安信红雨滴团队提醒广大用户，切勿打开社交媒体分享的来历不明的链接，不点击执行未知来源的邮件附件，不运行夸张的标题的未知文件，不安装非正规途径来源的APP。做到及时备份重要文件，更新安装补丁。若需运行，安装来历不明的应用，可先通过奇安信威胁情报文件深度分析平台（https://sandbox.ti.qianxin.com/sandbox/page）进行简单判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。

目前，基于奇安信威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等，都已经支持对此类攻击的精确检测。

8de75256d0e579416263cb3c61fc6c55

0821884168a644f3c27176a52763acc9

95c92bcfc39ceafc1735f190a575c60c

URL

hxxp://1213rt.atwebpages.com/cohb/d.php?filename=corona

hxxp://wbg0909.scienceontheweb.net/0412/download.php?filename=corona

hxxps://kimshan600000.blogspot.com/2021/07/1.html

hxxps://smyun0272.blogspot.com/2021/06/dootakim.html

hxxp://alyssalove.getenjoyment.net/0423/v.php