江蘇
關(guān)鍵詞
惡意軟件
朝鮮政府支持的黑客組織Kimsuky近期針對處方藥制藥企業(yè)發(fā)起定向攻擊,使用名為"White Life Science ERP Specification"的精心偽裝惡意文件。攻擊者通過偽造Excel文檔誘騙員工運(yùn)行惡意代碼,從而悄無聲息地獲取受害者系統(tǒng)訪問權(quán)限。此次攻擊表明,高級威脅行為體仍在依賴簡單但有效的欺騙手段入侵敏感行業(yè)。
該惡意軟件以名為White Life Science ERP Specification.lnk的Windows快捷方式文件形式出現(xiàn),其圖標(biāo)被偽裝成Excel表格。當(dāng)用戶打開這份看似普通的業(yè)務(wù)文檔時,一系列隱藏腳本將在后臺悄然運(yùn)行,不留下任何可見感染痕跡。
攻擊手法分析
攻擊者偽裝成一家同時生產(chǎn)非處方藥和處方藥的制藥企業(yè),使誘餌文檔對目標(biāo)對象顯得專業(yè)可信。Wezard4u安全分析師發(fā)現(xiàn),這個.lnk文件實(shí)質(zhì)上是多載荷容器,內(nèi)含誘餌Excel文件、PowerShell腳本、JavaScript文件以及Windows任務(wù)計劃程序XML文件,全部壓縮在一個23,079字節(jié)的快捷方式中。
執(zhí)行后,PowerShell會靜默提取并依次運(yùn)行每個組件,使感染過程完全隱蔽。完整執(zhí)行鏈路徑為:LNK→XML→JavaScript→PowerShell,這種設(shè)計使得在單個階段檢測攻擊變得極為困難。
行業(yè)影響評估
此次攻擊影響重大,因?yàn)橹扑幮袠I(yè)存儲著敏感研究數(shù)據(jù)、患者記錄和專有藥物配方。Kimsuky長期以學(xué)術(shù)、政府和研究機(jī)構(gòu)為目標(biāo),此次行動標(biāo)志著其向生命科學(xué)領(lǐng)域的明顯擴(kuò)張。若攻擊成功,黑客可能竊取機(jī)密臨床數(shù)據(jù)或長期監(jiān)控內(nèi)部通訊。
安全團(tuán)隊(duì)可通過以下文件特征進(jìn)行檢測:
文件名:White Life Science ERP Specification.lnk
MD5:5c3bf036ab8aadddb2428d27f3917b86
SHA-1:e9c16aa2e322a65fc2621679ca8e7414ebcf89c0
SHA-256:d4c184f4389d710c8aefe296486d4d3e430da609d86fa6289a8cea9fde4a1166
當(dāng)受害者打開偽造Excel文件時,cmd.exe會通過SysWOW64路徑調(diào)用PowerShell,刻意在64位Windows系統(tǒng)上運(yùn)行32位PowerShell版本,以此規(guī)避僅監(jiān)控64位進(jìn)程的安全工具。
PowerShell腳本使用XOR 0xC7編碼解密內(nèi)嵌載荷,將其釋放到名為C:\sysconfigs的隱藏文件夾(該名稱酷似合法Windows系統(tǒng)目錄)。主要保存兩個關(guān)鍵文件:作為主載荷的opakib.ps1和作為JavaScript啟動器的copa08o.js。隨后,JavaScript文件被注冊為名為"Avast Secure Browser VPS Differential Update Ex"的計劃任務(wù),偽裝成正常的瀏覽器更新進(jìn)程。
激活后,opakib.ps1通過官方API連接Dropbox,將其轉(zhuǎn)為臨時命令控制服務(wù)器。它會收集受害者域名、用戶名、操作系統(tǒng)版本、公網(wǎng)IP地址和運(yùn)行進(jìn)程列表,使用RC4和Base64編碼后上傳至Dropbox。攻擊者隨后可將自定義命令文件放入Dropbox,由惡意軟件下載并在受感染機(jī)器上靜默執(zhí)行。
防護(hù)建議
制藥企業(yè)和安全團(tuán)隊(duì)?wèi)?yīng)立即采取以下防護(hù)措施:
在Windows設(shè)置中啟用文件擴(kuò)展名顯示功能,避免.lnk文件被誤認(rèn)為Excel文檔
監(jiān)控并限制通過SysWOW64路徑執(zhí)行的PowerShell
定期審計Windows計劃任務(wù)中的陌生條目
標(biāo)記企業(yè)網(wǎng)絡(luò)內(nèi)異常的Dropbox API連接
將上述文件哈希值添加到終端檢測平臺,快速識別隔離受感染系統(tǒng)
安全圈
網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全
實(shí)時資訊一手掌握!
好看你就分享 有用就點(diǎn)個贊
支持「安全圈」就點(diǎn)個三連吧!
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
