引言
与朝鲜有关的黑客组织 Kimsuky 长期以来一直以韩国政府机构、研究机构、媒体以及安保相关人士为主要攻击目标,持续开展鱼叉式钓鱼和社会工程学攻击。2026 年 6 月初确认的本次攻击活动针对统一部内部相关人员,使用 (대외보안)통일부_중동상황관련_정책간담회_기획안.pdf.lnk 文件作为诱饵。
此次攻击并非简单的文件执行,而是由多阶段 PowerShell 下载器、利用 GitHub 传递二次载荷以及确保持久化(Persistence)等系统化流程构成。
攻击IOCs与钓鱼文件
-
文件名: (대외보안)통일부_중동상황관련_정책간담회_기획안.pdf.lnk -
文件大小:约 1MB -
哈希值: -
MD5: 232affa807a618e98959d858f064a434 -
SHA-1: 76314081b9bf6660fda31bc08fa2237d43db3600 -
SHA-256: e291ee630a58c405f86ca83d9364bfc3dbf13aecff9000cca4f2602158dac845
-
诱饵文件以 统一部政府首尔厅舍 于 2026 年 5 月 26 日举行的非公开政策恳谈会为主题。内容将中东局势与韩半岛和平共存政策相结合进行讨论,并使用申范哲世宗研究所首席研究员、河茂珍统一部政治军事分析课长等真实人物姓名来提升可信度。
文件可疑之处:
-
日期不一致(2026.05.26 与 2026.02.26) -
星期与日期不匹配 -
要求参会者提供居民登记号、银行账号、家庭住址等过度个人信息收集项目
用户双击 .lnk 文件后,恶意代码会从 GitHub Raw 下载真实 PDF(povjrg.pdf)并保存到 TEMP 文件夹中打开,让用户误以为“文件正常打开”。与此同时,恶意行为在后台悄然进行。
恶意代码分析
1. 混淆技术
PowerShell 脚本采用 基于重复密钥的条件减法 方式进行混淆。
-
密钥字符串: KKswf&3H& -
偏移量: +103 -
特点:当编码字节大于密钥值时直接通过(防止韩文 UTF-8 字节损坏)
该技术明显考虑了韩文文件名,属于针对性设计。
2. 执行流程
-
第一阶段(
dfvkuriguse.ps1等):
从 GitHub 下载povjrg.pdf并打开真实 PDF
在%APPDATA%下创建opifgrg.ps1(二次下载器) -
持久化机制:
在 Windows 任务计划程序中注册计划任务-
任务名称: MicrosoftEdgeUpdateTaskMachineforce678{F60293632-35R-4A2F-96A8-03C3ECD693f5}(伪装成 Edge 更新) -
触发器:首次运行 5 分钟后,之后 每 35 分钟 重复执行
-
-
二次载荷:
从 GitHub Raw 下载SqpbvjgrS.txt(真实 PowerShell 脚本),保存为%APPDATA%\qpjvKUHSvgf.ps1后执行
IOCs
文件路径:
-
%TEMP%\ (대외보안)통일부_중동상황관련_정책간담회_기획안.pdf -
%APPDATA%\dfvkuriguse.ps1 -
%APPDATA%\opifgrg.ps1 -
%APPDATA%\qpjvKUHSvgf.ps1
C2 / 下载地址:
-
https://raw.githubusercontent.com/anti-box/jang/main/povjrg.pdf -
https://raw.githubusercontent.com/anti-box/jang/main/SqpbvjgrS.txt
任务计划程序:
-
MicrosoftEdgeUpdateTaskMachineforce…(包含特定 GUID)
应对措施
-
禁止随意执行可疑 .lnk 文件 —— 尤其是政府或安保相关文件,必须严格验证来源。 -
检查任务计划程序:打开 taskschd.msc,删除伪装成 Edge 更新的可疑任务。 -
使用端点检测解决方案(如 ESET 等,已有 LNK/Kimsuky 相关检测规则)。 -
加强 GitHub Raw 域名阻断或监控。 -
安全意识教育:养成检查日期/星期不一致、过度索要个人信息等习惯。
结论
Kimsuky仍在持续使用 社会工程学 + PowerShell 下载器 + GitHub 利用 + 伪装持久化 这一经典且有效的战术组合。本次针对统一部及安保相关人士的攻击,清晰地体现了朝鲜的情报收集目的(政策动向、人际网络掌握)。
安全人员和普通用户都应摒弃“文件能打开 = 安全”的错误认知,务必开启文件扩展名显示并严格验证文件来源。
参考资料: https://wezard4u.tistory.com/429794
暂无评论内容