Kimsuky APT 组织钓鱼样本分析
Contents
Kimsuky APT 组织钓鱼样本分析
概述
本文对一起疑似朝鲜(DPRK)APT 组织 Kimsuky 发起的定向网络钓鱼攻击进行深度技术分析。攻击者以韩国陆军官方会议为诱饵,通过 LNK 捷径触发多阶段恶意链路,最终使用 Chrome Remote Desktop 实现隐蔽的长期远程控制。
该攻击涵盖完整的 初始访问 → 执行 → 持久化 → 权限提升 → 远程控制 五个战术阶段。
一、样本基础信息
| 字段 | 值 |
|---|---|
| 诱饵文件 1 | 2026 4th K-ICTC Information.pdf.lnk (20KB) |
| 诱饵文件 2 | Official Letter.pdf (175KB) |
| 一阶段恶意脚本 | C:\Users\Public\Music\ant.vbe |
| C2 地址 | 103.67.196.25 |
| C2 通信签名 | type=apple (AppleSeed 特征) |
| 归因组织 | Kimsuky(APT43 / Thallium / Velvet Chollima / Black Banshee) |
二、一阶段攻击链分析
2.1 初始诱饵(Initial Access)
受害者接收到包含两个文件的压缩包:
|
|
其中 Official Letter.pdf
是一个高仿真的伪装文件,内容模拟 Republic of Korea Army(韩国陆军)发出的正式邀请函,主题围绕 2026 年第 4 届 K-ICTC 国际科学化战斗竞赛,包含韩英双语内容、训练时间地点、回函截止日期,并署名:
Colonel Kim, Boo-bae / Chief of Training Policy, G-2/3
此类内容高度针对军方、国防、外交及相关研究机构,具有强烈的定向社会工程学特征。
由于 Windows 系统默认隐藏已知文件扩展名,或攻击者对 LNK 图标进行了 PDF 图标伪装,受害者极易将 .lnk
文件误认为 PDF 文档并双击触发。
2.2 执行入口:LNK 快捷方式(Execution)
.lnk
文件内嵌的执行命令如下:
|
|
逐段解析:
| 命令片段 | 作用 |
|---|---|
mode 15,1 | 缩小命令行窗口至极小尺寸,视觉隐藏 |
curl ... -o ant.vbe | 从 C2 拉取 VBE 加载器并落盘 |
ant.vbe | 立即执行下载的脚本 |
exit | 命令窗口退出,减少可见痕迹 |
该 LNK 文件本身不是最终 payload,而是充当第一阶段下载器 / 启动器的角色。
2.3 VBE 脚本分析(Obfuscation → Decode)
从 C2 拉取的 ant.vbe
是一个经过**微软脚本编码(Microsoft Script Encoder)**混淆的 VBScript 文件。原始内容为不可读的编码字符串:
|
|
这并非加密,而是 VBE 格式的混淆编码,可通过 decode-vbe.py
(Didier Stevens)或 John Hammond 的 …
概述
本文对一起疑似朝鲜(DPRK)APT 组织 Kimsuky 发起的定向网络钓鱼攻击进行深度技术分析。攻击者以韩国陆军官方会议为诱饵,通过 LNK 捷径触发多阶段恶意链路,最终使用 Chrome Remote Desktop 实现隐蔽的长期远程控制。
该攻击涵盖完整的 初始访问 → 执行 → 持久化 → 权限提升 → 远程控制 五个战术阶段。
一、样本基础信息
| 字段 | 值 |
|---|---|
| 诱饵文件 1 | 2026 4th K-ICTC Information.pdf.lnk (20KB) |
| 诱饵文件 2 | Official Letter.pdf (175KB) |
| 一阶段恶意脚本 | C:\Users\Public\Music\ant.vbe |
| C2 地址 | 103.67.196.25 |
| C2 通信签名 | type=apple (AppleSeed 特征) |
| 归因组织 | Kimsuky(APT43 / Thallium / Velvet Chollima / Black Banshee) |
二、一阶段攻击链分析
2.1 初始诱饵(Initial Access)
受害者接收到包含两个文件的压缩包:
|
|
其中 Official Letter.pdf
是一个高仿真的伪装文件,内容模拟 Republic of Korea Army(韩国陆军)发出的正式邀请函,主题围绕 2026 年第 4 届 K-ICTC 国际科学化战斗竞赛,包含韩英双语内容、训练时间地点、回函截止日期,并署名:
Colonel Kim, Boo-bae / Chief of Training Policy, G-2/3
此类内容高度针对军方、国防、外交及相关研究机构,具有强烈的定向社会工程学特征。
由于 Windows 系统默认隐藏已知文件扩展名,或攻击者对 LNK 图标进行了 PDF 图标伪装,受害者极易将 .lnk
文件误认为 PDF 文档并双击触发。
2.2 执行入口:LNK 快捷方式(Execution)
.lnk
文件内嵌的执行命令如下:
|
|
逐段解析:
| 命令片段 | 作用 |
|---|---|
mode 15,1 | 缩小命令行窗口至极小尺寸,视觉隐藏 |
curl ... -o ant.vbe | 从 C2 拉取 VBE 加载器并落盘 |
ant.vbe | 立即执行下载的脚本 |
exit | 命令窗口退出,减少可见痕迹 |
该 LNK 文件本身不是最终 payload,而是充当第一阶段下载器 / 启动器的角色。
2.3 VBE 脚本分析(Obfuscation → Decode)
从 C2 拉取的 ant.vbe
是一个经过**微软脚本编码(Microsoft Script Encoder)**混淆的 VBScript 文件。原始内容为不可读的编码字符串:
|
|
这并非加密,而是 VBE 格式的混淆编码,可通过 decode-vbe.py
(Didier Stevens)或 John Hammond 的 …
IoC
http://103.67.196.25//view1.php?type=apple&seed=*
http://103.67.196.25//view1.php?type=apple&seed=<MAC
103.67.196.25
http://103.67.196.25//view1.php?type=apple&seed=<MAC
103.67.196.25