关键词
恶意软件
朝鲜政府支持的黑客组织Kimsuky近期针对处方药制药企业发起定向攻击,使用名为"White Life Science ERP Specification"的精心伪装恶意文件。攻击者通过伪造Excel文档诱骗员工运行恶意代码,从而悄无声息地获取受害者系统访问权限。此次攻击表明,高级威胁行为体仍在依赖简单但有效的欺骗手段入侵敏感行业。
该恶意软件以名为White Life Science ERP Specification.lnk的Windows快捷方式文件形式出现,其图标被伪装成Excel表格。当用户打开这份看似普通的业务文档时,一系列隐藏脚本将在后台悄然运行,不留下任何可见感染痕迹。
攻击手法分析
攻击者伪装成一家同时生产非处方药和处方药的制药企业,使诱饵文档对目标对象显得专业可信。Wezard4u安全分析师发现,这个.lnk文件实质上是多载荷容器,内含诱饵Excel文件、PowerShell脚本、JavaScript文件以及Windows任务计划程序XML文件,全部压缩在一个23,079字节的快捷方式中。
执行后,PowerShell会静默提取并依次运行每个组件,使感染过程完全隐蔽。完整执行链路径为:LNK→XML→JavaScript→PowerShell,这种设计使得在单个阶段检测攻击变得极为困难。
行业影响评估
此次攻击影响重大,因为制药行业存储着敏感研究数据、患者记录和专有药物配方。Kimsuky长期以学术、政府和研究机构为目标,此次行动标志着其向生命科学领域的明显扩张。若攻击成功,黑客可能窃取机密临床数据或长期监控内部通讯。
安全团队可通过以下文件特征进行检测:
文件名:White Life Science ERP Specification.lnk
MD5:5c3bf036ab8aadddb2428d27f3917b86
SHA-1:e9c16aa2e322a65fc2621679ca8e7414ebcf89c0
SHA-256:d4c184f4389d710c8aefe296486d4d3e430da609d86fa6289a8cea9fde4a1166
当受害者打开伪造Excel文件时,cmd.exe会通过SysWOW64路径调用PowerShell,刻意在64位Windows系统上运行32位PowerShell版本,以此规避仅监控64位进程的安全工具。
PowerShell脚本使用XOR 0xC7编码解密内嵌载荷,将其释放到名为C:\sysconfigs的隐藏文件夹(该名称酷似合法Windows系统目录)。主要保存两个关键文件:作为主载荷的opakib.ps1和作为JavaScript启动器的copa08o.js。随后,JavaScript文件被注册为名为"Avast Secure Browser VPS Differential Update Ex"的计划任务,伪装成正常的浏览器更新进程。
激活后,opakib.ps1通过官方API连接Dropbox,将其转为临时命令控制服务器。它会收集受害者域名、用户名、操作系统版本、公网IP地址和运行进程列表,使用RC4和Base64编码后上传至Dropbox。攻击者随后可将自定义命令文件放入Dropbox,由恶意软件下载并在受感染机器上静默执行。
防护建议
制药企业和安全团队应立即采取以下防护措施:
在Windows设置中启用文件扩展名显示功能,避免.lnk文件被误认为Excel文档
监控并限制通过SysWOW64路径执行的PowerShell
定期审计Windows计划任务中的陌生条目
标记企业网络内异常的Dropbox API连接
将上述文件哈希值添加到终端检测平台,快速识别隔离受感染系统
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
热门跟贴