Kimsuky APT组织对韩国国防部门定向攻击活动的分析

Kimsuky组织为境外APT组织，该组织长期针对韩国政府、新闻、医疗、金融等机构进行攻击活动，经常以政府相关热点事件为诱饵进行定向攻击，窃取高价值情报是其主要攻击目的之一。

微步情报局近期通过威胁狩猎系统监测到Kimsuky APT组织针对韩国国防安全相关部门的定向攻击活动，分析有如下发现：

• 攻击者以“韩美峰会参考资料”、“韩国国防部招标文件”、“韩国互联网安全局APP”相关主题为诱饵进行定向攻击，其中所投递的诱饵文档为HWP格式，具有明显的针对性；
• 所使用木马包括Windows版本和Android版本；
• 使用的间谍类型RAT组件在旧版本的基础上丰富了间谍功能，包括键盘监控、屏幕监控、文件监控、USB监控等；
• 针对特定类型文档、文件进行窃取，具有明显的间谍属性；
• 攻击者在近半年时间持续对韩国国防安全相关部门进行定向攻击活动；
• 据韩国媒体《朝鲜日报》报道，近期韩国原子能研究院遭到Kimsuky攻击，攻击者利用原子能研究院V*P*N设备漏洞成功入侵其内网；
• 微步情报局近期监测到具有相同背景的Lazarus APT组织同样在针对军工企业进行定向攻击活动，与Kimsuky的攻击目标产生了一定的重叠，二者疑似是被统一策划进行定向攻击活动；
• 微步情报局通过对相关样本、IP和域名的溯源分析，提取了多条相关IOC，用于威胁情报检测。微步在线威胁感知平台TDP、本地威胁情报管理平台TIP、威胁情报云API、互联网安全接入服务OneDNS、主机威胁检测与响应平台OneEDR等均已支持对此次攻击事件和团伙的检测。

攻击者将木马伪装为HWP文档、微软相关组件图标，捆绑诱饵文档向目标投递。诱饵文档为韩国HWP文档格式，具有明显的针对性。

在木马模块中，会从C2服务器下载下阶段脚本执行，分析时C2服务器已无法正常响应，但根据关联信息显示，其最终加载该组织惯用的 RAT 间谍类型模块。

Android版本木马伪装成KISA（韩国互联网安全局）相关APP进行间谍活动。

Kimsuky组织作为境外APT组织，一直保持着很高的活跃度，其对热点事件尤其是政府相关事件保持较高的关注度，该组织在攻击过程中体现出轻量化、多阶段脚本载荷的特点。

近些年，Kimsuky不断开发新的工具以及旧工具的变种，积极参与相关情报收集活动。微步情报局近期监测到具有相同背景的Lazarus APT组织同样在针对军工企业进行定向攻击活动，这与Kimsuky的攻击目标产生了一定的重叠，二者疑似是被统一策划进行定向攻击活动。