两起高度定制的网络攻击,两种以假乱真的入口伪装。2026年3月到4月间,朝鲜国家级黑客组织Kimsuky(又称Velvet Chollima)对韩国军方与大型企业发动一连串定向渗透,其利用安全软件安装页和在线会议页面的欺骗手法,刷新了社会工程攻击的细致程度。
安全机构ENKI本周公布的报告还原了攻击逻辑:Kimsuky沿着一条精心修饰的信任链,先仿冒韩国企业消息服务的安全软件下载站,再虚构Webex会议摄像头排障界面,让受害者以为正在处理日常工作,实则一步步落入木马分发链条。ENKI指出,这种“伪装安全更新”的策略自2023年起就被反复使用,而此次还加入了调用真实会议日程的细节,欺骗性更强。
3月行动的攻击页面直接模拟了一款韩国B2B消息软件的安全工具下载区,页面列出防火墙和键盘安全程序。目标一旦点击,会得到文件名不同的两个可执行程序——“nos-setup.exe”与“astx-setup.exe”,分别伪装成nProtect Online Security和AhnLab Safe Transaction(ASTx)。尽管名称各异,两者的恶意逻辑完全一致:启动后释放第二阶段DLL载荷MemLoader.dll,通过regsvr32.exe加载,紧接着运行批处理脚本把原可执行文件从磁盘上抹除。
MemLoader.dll借助计划任务在主机扎根,随后向命令与控制(C2)服务器发起联系,等待下发未知的下一阶段载荷。ENKI判断,攻击者很可能在后台监控恶意软件发出的周期性GET请求,只向特定受害对象定向投递后续工具,借以降低暴露面。
进入4月,诱饵切换成Cisco Webex的虚假页面。页面上弹出一条关于摄像头访问异常的提示,催促受害者下载并运行脚本“修复问题”。压缩包解开后是一个加密的JSE文件“fix-camera.jse”,通过PowerShell启动后释放中间下载器mTSTCv8.mdxm。该下载器先执行反分析检测,再连接C2服务器获取下一阶段恶意代码engine.dat或spyInster.dll,最终由cacheMon.dat加载器把完整功能的远程访问木马HTTPSpy装入系统。
HTTPSpy在功能上几乎等同于一整套间谍工具箱:执行shell命令、上传下载文件、抓取屏幕截图、向指定进程注入DLL路径,还能在完成任务后自我擦除。Kimsuky对这套工具的持续打磨,把伪装韩国安全软件的惯用手法扩展到了虚拟会议场景,使得入侵动作更贴合日常运维习惯。
站在企业消息管理员或会议组织者的角度看,这些攻击恰好嵌入了日常的软件更新与线上排障流程。表面上是安全合规的加固动作,实则是层层递进的木马投送。攻击者没有依赖零日漏洞,而是用细致的页面仿冒与流程伪装,把每一次点击都变成了潜入内网的跳板。
热门跟贴