北京
兩起高度定制的網絡攻擊,兩種以假亂真的入口偽裝。2026年3月到4月間,朝鮮國家級黑客組織Kimsuky(又稱Velvet Chollima)對韓國軍方與大型企業發動一連串定向滲透,其利用安全軟件安裝頁和在線會議頁面的欺騙手法,刷新了社會工程攻擊的細致程度。
安全機構ENKI本周公布的報告還原了攻擊邏輯:Kimsuky沿著一條精心修飾的信任鏈,先仿冒韓國企業消息服務的安全軟件下載站,再虛構Webex會議攝像頭排障界面,讓受害者以為正在處理日常工作,實則一步步落入木馬分發鏈條。ENKI指出,這種“偽裝安全更新”的策略自2023年起就被反復使用,而此次還加入了調用真實會議日程的細節,欺騙性更強。
3月行動的攻擊頁面直接模擬了一款韓國B2B消息軟件的安全工具下載區,頁面列出防火墻和鍵盤安全程序。目標一旦點擊,會得到文件名不同的兩個可執行程序——“nos-setup.exe”與“astx-setup.exe”,分別偽裝成nProtect Online Security和AhnLab Safe Transaction(ASTx)。盡管名稱各異,兩者的惡意邏輯完全一致:啟動后釋放第二階段DLL載荷MemLoader.dll,通過regsvr32.exe加載,緊接著運行批處理腳本把原可執行文件從磁盤上抹除。
MemLoader.dll借助計劃任務在主機扎根,隨后向命令與控制(C2)服務器發起聯系,等待下發未知的下一階段載荷。ENKI判斷,攻擊者很可能在后臺監控惡意軟件發出的周期性GET請求,只向特定受害對象定向投遞后續工具,借以降低暴露面。
進入4月,誘餌切換成Cisco Webex的虛假頁面。頁面上彈出一條關于攝像頭訪問異常的提示,催促受害者下載并運行腳本“修復問題”。壓縮包解開后是一個加密的JSE文件“fix-camera.jse”,通過PowerShell啟動后釋放中間下載器mTSTCv8.mdxm。該下載器先執行反分析檢測,再連接C2服務器獲取下一階段惡意代碼engine.dat或spyInster.dll,最終由cacheMon.dat加載器把完整功能的遠程訪問木馬HTTPSpy裝入系統。
HTTPSpy在功能上幾乎等同于一整套間諜工具箱:執行shell命令、上傳下載文件、抓取屏幕截圖、向指定進程注入DLL路徑,還能在完成任務后自我擦除。Kimsuky對這套工具的持續打磨,把偽裝韓國安全軟件的慣用手法擴展到了虛擬會議場景,使得入侵動作更貼合日常運維習慣。
站在企業消息管理員或會議組織者的角度看,這些攻擊恰好嵌入了日常的軟件更新與線上排障流程。表面上是安全合規的加固動作,實則是層層遞進的木馬投送。攻擊者沒有依賴零日漏洞,而是用細致的頁面仿冒與流程偽裝,把每一次點擊都變成了潛入內網的跳板。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
