12日微软表示,今年1月看到这些骇客锁定一定数量的目标从事网钓攻击,看到这些骇客锁定一定数量的目标从事网钓攻击,假借使用者注册装置为由,要求使用管理员权限执行PowerShell,并复制、贴上特定的程式码并执行。
这些骇客声称是韩国政府官员,向目标人士建立关系,然后寄送挟带PDF档案的钓鱼邮件,要求注册装置。
一旦收信人依照文件内容指示操作,就会以管理员权限打开PowerShell,并执行特定程式码,从而在电脑部署以浏览器为基础打造的远端桌面工具,并透过特定的PIN码下载凭证,将受害电脑向远端伺服器进行注册。
而对于这些骇客的目的,主要是建立能从受害者的电脑窃取资料的管道。
无独有偶,13日Securonix也揭露持续针对韩国企业、政府机关、加密货币持有人的攻击行动Deep#Drive,Kimsuky以工作日志、保险文件、加密货币相关资料为诱饵,寄送以韩文书写的钓鱼信,骇客挟带HWP、XLSX、PPTX等当地办公室软体常见格式的档案,并利用Dropbox等常见的公有云平台代管有效酬载,而能成功回避一般的安全防御机制。
Securonix威胁研究员Den Iuzvyk、Tim Peck指出,这些骇客重度依赖PowerShell指令码传送有效酬载、侦察,以及执行恶意软体,关键要素就是透过Dropbox传递有效酬载并外传受害电脑的系统资料。
附带一提,研究人员发现相关的Dropbox连结快速遭到撤下,代表这些骇客使用的基础设施存在的时间相当短,使得防守方更难进行相关防御。而这样的战术、手法、程序(TTP),与Kimsuky相当接近,因此Securonix也以此认定这起攻击行动就是这些骇客所为。
针对攻击行动发生的过程,Securonix指出可从伪装成合法文件档案的Windows捷径档(LNK)开始,一旦执行就会建立名为ChromeUpdateTaskMachine的工作排程,目的是确保恶意指令码能每隔一段时间就执行。
接著,攻击者透过PowerShell指令码收集系统资讯,包括IP位址、作业系统资讯、正在执行的处理程序、部署的防毒软体,并传送到Dropbox。
然后他们执行另一个指令码,下载、更改并解压缩Gzip压缩档,并将.NET元件载入记忆体,执行下个阶段的有效酬载。
骇客存取Dropbox的方法也相当特别,是透过OAuth的Token完成身分验证,然后与API进行互动,这么做能够无缝地外流相关侦察资料。Securonix研究团队从攻击者的PowerShell程式码找到了相关的OAuth token,结果发现,骇客很可能从去年9月就开始相关活动。