朝鲜Kimsuky组织伪装成学术论文进行恶意软件分发——每周威胁情报动态第227期 （06.13-06.19）

朝鲜Kimsuky组织伪装成学术论文进行恶意软件分发

近日，网络安全研究人员发现了一起由朝鲜背景APT组织Kimsuky精心策划的网络钓鱼攻击事件。攻击者伪装成学术界的论文评审请求，通过恶意HWP文档（韩国办公软件格式）传播恶意软件，目标直指高校教授、研究人员等特定群体。该攻击活动利用了社会工程学手段，以“俄乌战争军事技术”等热点话题为诱饵，诱导受害者打开包含恶意OLE对象的密码保护文档，进而窃取系统信息并建立隐蔽的远程控制通道。

研究人员针对整个攻击过程进行深度分析后，发现攻击者是通过钓鱼邮件向目标发送伪装成学术论文评审请求的HWP文档，文档密码在邮件正文中提供。一旦用户输入密码打开文档，文档中的恶意OLE对象会自动在系统临时目录（%TEMP%）释放六个恶意文件，包括伪装成数据库的可执行文件app.db、用于收集系统信息的PowerShell脚本get.db、诱饵文档hwp_doc.db（内容伪装成俄乌战争研究论文）、配置文件mnfst.db、计划任务文件sch_0514.db以及核心批处理脚本peice.bat。文档中还嵌入超链接，诱导用户点击执行peice.bat。

peice.bat执行后，首先删除原始恶意文档，将诱饵文档重命名为《俄乌战争中的军事技术与未来战争方向》并打开，以掩盖攻击行为。随后，该脚本将恶意文件复制到C:UsersPublicMusic目录，并重命名为cool.exe、template.ps1等，同时注册名为GoogleTransltatorExtendeds的计划任务，每12分钟执行一次cool.exe。cool.exe运行时读取配置文件cool.exe.manifest，解码并执行其中的VBScript，最终调用template.ps1脚本。

template.ps1负责收集系统进程列表、杀毒软件信息，并将数据上传至攻击者控制的Dropbox账户。此外，攻击者通过下载的1.bat脚本进一步部署AnyDesk远程控制工具，篡改其配置文件（service.conf、system.conf），实现隐蔽连接。攻击者还通过计划任务每5秒执行一次AnyDesk，并利用脚本隐藏窗口和托盘图标，确保用户难以察觉远程控制行为。

在此次攻击活动中，Kimsuky组织展现了一贯的模块化攻击风格。攻击过程中使用的恶意程序分工明确，涵盖了持久化、数据窃取、调度执行等多个环节，且每个环节都经过精心设计以规避检测。另外，攻击者也不再局限于传统的漏洞利用，而是更多地依赖社会工程学手段和合法软件滥用，以此实现对高价值目标的精准攻击。例如，攻击者通过BASE64编码隐藏恶意代码。利用HWP文档和军事学术主题作为诱饵，精准针对相关领域人士。还滥用合法软件AnyDesk远程控制软件及Dropbox云存储服务，通过计划任务、脚本链实现攻击流程自动化，并通过删除原始文件、隐藏程序界面等方式增强隐蔽性。

参考链接：

https://asec.ahnlab.com/en/88465/

XDSpy组织利用Windows LNK0day漏洞实施高级网络间谍活动

近日，网络安全研究团队发现神秘的XDSpy黑客攻击组织正利用微软Windows系统LNK文件的显示机制漏洞（ZDI-CAN-25373），针对东欧及俄罗斯政府机构发动持续的网络攻击。这一始于2025年3月的攻击活动通过分析一组恶意LNK文件被发现，研究人员深入分析了该组织复杂的多阶段攻击链及新型植入工具XDigo的技术细节，这也是XDSpy组织自2020年被ESET发现以来，首次由西方安全研究团队公开的详细技术分析报告。

XDSpy组织利用的ZDI-CAN-25373漏洞本质上是Windows资源管理器UI显示机制的设计缺陷，通过在LNK文件命令行参数前填充大量空白字符，攻击者可使真实执行命令在"目标"属性框中完全隐藏。更值得关注的是，微软Windows对LNK文件的解析与官方MS-SHLLINK规范存在显著偏差，攻击者利用这一差异构造特殊LNK文件，导致第三方解析器与Windows解析结果不同，从而实现命令隐藏与攻击规避。

XDSpy组织自2011年起活跃，长期针对东欧政府实体进行网络间谍活动。2025年3月，研究人员发现该组织通过钓鱼邮件传播恶意LNK文件，伪装为“项目文件”或“证据材料”，诱导用户点击。这些LNK文件利用Windows快捷方式（.lnk）的UI显示漏洞隐藏恶意命令行参数，通过前置大量空白字符（如空格、制表符）使恶意命令超出UI显示范围，仅显示无害的程序路径。结合微软未严格遵循MS-SHLLINK规范的解析逻辑，部分第三方工具无法正确解析实际执行的命令。

整个攻击链包含多阶段感染过程。用户点击LNK文件后，触发合法程序（如DeviceMetadataWizard.exe）侧加载恶意DLL（d3d9.dll），执行第一阶段下载器（ETDownloader）。该下载器使用C#编写，经ConfuserEx2混淆，通过DLL侧加载执行，功能包括下载第二阶段载荷、创建启动项持久化、打开诱饵文档（如哈萨克斯坦律师协会信函、俄罗斯建筑图纸）。ETDownloader的通信域名采用俄语词汇转写（如vashazagruzka365[.]com，意为“您的下载365”）。

第二阶段载荷为基于Go语言开发的XDigo，具备反虚拟机检测、文件加密传输、远程命令执行等功能。该恶意软件收集目标包括.docx、.pdf、.xlsx等13类文件，扩展至系统盘外存储设备。C2通信通过HTTPS上传加密数据，使用固定User-Agent（如Chrome/91.0.4472.124），部分域名解析至CDN服务（如Hostinger）。

XDSpy组织的基础设施也具有明显特征，分发服务器命名多含俄语词汇（如pdfdepozit[.]com，意为“PDF仓库”），C2服务器采用随机英文单词组合（如quan-miami[.]com），部分域名直译具有政治隐喻（如pechalnoyebudushcheye[.]com，意为“悲伤的未来”）。与2023年卡巴斯基报告的“Silent Werewolf”活动存在代码重叠，共享RSA加密密钥与Go语言开发框架，攻击手法延续XDSpy传统，如利用forfiles.exe执行命令、针对东欧政府目标。此次攻击已确认白俄罗斯政府经济部门遭受攻击，俄罗斯金融机构、邮政系统亦被波及。

图 1 XDSpy攻击感染链

参考链接：

https://harfanglab.io/insidethelab/sadfuture-xdspy-latest-evolution/

柬泰边境争端升级，亲柬埔寨黑客组织针对泰国发动网络攻击

近期，柬埔寨黑客组织AnonSecKh（又名Bl4ckCyb3r）针对泰国政府、军事及私营企业网站发起了一系列网络攻击，此次行动被证实与两国长期存在的边境争端直接相关。自2025年3月以来，该组织持续对泰国关键基础设施实施网络打击，而在5月28日一名柬埔寨士兵在边境冲突中丧生后，攻击频率急剧上升，短短两周内便宣称成功入侵73个泰国目标。

此次攻击的核心手段包括分布式拒绝服务（DDoS）攻击和网站篡改（Defacement）。DDoS攻击通过向目标服务器发送海量流量，使其无法响应正常访问请求，从而导致服务瘫痪。泰国国防部、外交部及曼谷市政府等多个关键机构的网站均受到影响，部分页面被替换为政治性标语或黑客组织的宣言。此外，该组织还通过Telegram频道发布攻击证据，以增强其行动的影响力，并进一步煽动网络民族主义情绪。

网络安全专家指出，AnonSecKh的攻击模式呈现出明显的政治驱动特征，其行动往往紧随现实世界中的军事或外交事件。例如，在泰国军方于6月6日发表“已准备好进行高级别军事行动”的声明后，该组织立即加大了攻击力度，显示出极强的即时反应能力。攻击目标的选择也极具针对性，政府及军事网站占比近30%，制造业和金融行业紧随其后，表明黑客不仅意图制造舆论影响，还可能试图破坏关键经济与安全基础设施。

泰国网络犯罪调查局（CCIB）已对此展开调查，并成功申请了对两名涉嫌参与攻击的黑客的逮捕令。然而，由于该组织成员可能位于柬埔寨境内，跨国执法面临挑战。与此同时，泰国安全机构正加强网络防御措施，包括部署更先进的DDoS缓解方案和实时威胁监测系统，以应对未来可能的攻击升级。

此次事件再次凸显了地缘政治冲突向网络空间蔓延的趋势。随着黑客组织利用民族主义情绪动员攻击，各国政府不仅需要加强技术防御，还需通过外交与法律手段遏制网络战的扩散。目前，AnonSecKh的攻击仍在持续，泰国网络安全部门警告称，未来可能会有更多关键系统成为攻击目标。

参考链接：

https://therecord.media/pro-cambodian-hacktivists-target-thai-websites-amid-border-dispute

印度知名共享汽车Zoomcar平台800万用户信息遭数据泄露

近日，印度最大的自助汽车租赁平台ZoomCar发生严重数据泄露事件，超过800万用户的敏感信息被非法获取并在暗网传播。安全研究人员发现，此次泄露的数据库文件包含用户姓名、电子邮件、电话号码、车辆租赁记录、支付信息及GPS位置数据等核心隐私内容，部分数据已在暗网论坛上标价出售。

根据安全团队分析，攻击者可能通过ZoomCar移动端API的未授权访问漏洞或云存储配置错误入侵系统。泄露的8GB数据库文件以.sql格式存储，包含用户从2018年至今的完整租赁记录，甚至包括部分员工的内部账户信息。技术调查显示，ZoomCar的用户密码采用未加盐的MD5哈希存储，这种过时的加密方式极易被破解。此外，数据库中大量重复记录和格式错误表明，攻击者可能使用自动化脚本长期渗透系统，而ZoomCar的监控机制未能及时预警。

泄露数据在暗网论坛“BreachForums”以500美元起拍，攻击者甚至提供“按城市筛选数据”的定制服务。安全专家警告，这些信息可能被用于精准钓鱼攻击、身份盗用及物理位置追踪。例如，攻击者可伪装成ZoomCar客服发送“行程退款”邮件，诱导用户点击恶意链接；GPS数据暴露用户常活动区域，存在现实安全隐患。

ZoomCar已启动内部调查并通知用户重置密码，但尚未明确说明漏洞成因。印度计算机应急响应团队（CERT-In）已介入调查，要求其在72小时内提交详细报告。此次事件可能导致ZoomCar面临印度《个人数据保护法案》（PDPB）的高额罚款，同时引发行业对API安全、云存储配置及员工权限管理的全面审查。

参考链接：

https://hackread.com/zoomcar-data-breach-exposes-8-million-users-data/

黑客组织利用HoldingHands RAT针对中国台湾企业展开网络攻击

2025年1月，网络安全研究人员观察到一起针对中国台湾地区用户的网络攻击活动，攻击者通过伪装成中国台湾地区“国家税务局”的钓鱼邮件传播名为winos 4.0的恶意软件，后续监测显示该攻击活动持续演化，2025年3月又发现新的恶意软件样本，其中一封钓鱼邮件附件包含的链接与另一攻击活动相关，进一步追踪揭示了更为复杂的攻击链条。

此次攻击活动中，攻击组织主要通过钓鱼邮件实施恶意程序投递，邮件通常伪装成政府机构或商业伙伴发送的税务、养老金、发票等主题信息，诱使收件人点击附件或链接。例如，2025年3月17日的一封钓鱼邮件以“财政部关务署进出口税务通知”为主题，邮件中图片嵌入超链接，点击后跳转至恶意下载页面；3月24日的邮件则以“营业税电子申报缴税程式更新”为由，附件PDF文件同样引导用户下载恶意内容。恶意软件下载页面设计简洁，常提供密码保护的ZIP文件，密码需从下载页面获取，以此阻碍安全分析师的初步分析。

攻击者通过多阶段载荷实现隐蔽渗透，初始投递的钓鱼邮件附件为PDF文件，诱导用户点击链接下载ZIP文件。ZIP文件包含合法可执行程序、恶意DLL文件及加密Shellcode，通过侧加载（side-loading）技术加载恶意模块。恶意DLL（如dokan2.dll）通过修改导入表劫持系统进程，利用ExitProcess函数替换实现进程注入，同时通过修改注册表（SOFTWARE\MsUpTas）标记感染状态，确保恶意代码在系统重启后持续运行。恶意代码还通过检测物理内存容量（低于8GB则终止运行）规避沙箱分析，同时通过模拟TrustedInstaller服务权限绕过系统安全限制。核心恶意模块msgDb.dat是基于HoldingHands RAT框架，通过加密通道与C2服务器通信，收集系统信息（IP、用户名、硬件配置等）并接收远程指令。攻击者通过动态加载远程桌面控制、文件管理等模块，实现对目标系统的全面控制。

攻击者还采用多层混淆技术，包括将恶意DLL伪装成系统文件（如dokan2.dll），通过空文件（如DwhsOqnbdrr.dll）实现函数地址替换；Shellcode通过异或加密存储于文本文件（如dxpi.txt），运行时动态解密并注入内存执行；通过合法程序（如條例檔案.exe）侧加载恶意DLL，进一步解密并执行核心载荷，规避安全软件检测。

此外，该攻击者还频繁使用Gh0stCringe等其他恶意软件，持续更新攻击工具链（如HoldingHands RAT、Gh0stCringe），攻击链条涉及 PDF、HTML 和 EXE 等多种文件类型。整体攻击流程由众多shellcode片段和加载器组成，尽管结构复杂，但核心目的始终是执行恶意负载并与C2服务器通信以接收进一步指令。

图 2 ZIP文件中文件的执行流程示例

参考链接：

https://www.fortinet.com/blog/threat-research/threat-group-targets-companies-in-taiwan

Fog勒索软件组织针对全球企业发起新型混合攻击

近期，网络安全研究团队监测到Fog勒索软件组织发起了一系列针对全球企业的复杂攻击活动，该组织不仅实施传统的数据加密勒索，还结合了信息窃取与长期潜伏等高级威胁手段，显示出明显的双重攻击意图。此次攻击活动最早可追溯至2024年年中，但近期攻击手法出现显著升级，攻击者利用合法软件与开源渗透工具的组合，成功入侵了包括金融机构、教育机构及科技企业在内的多个高价值目标。

Fog勒索软件于2024年5月首次被发现，最初主要针对美国教育机构，早期攻击中，攻击者利用受损的VPN凭据获取对网络的初始访问权限。2024年10月有报告称，Fog攻击者利用Veeam Backup & Replication（VBR）服务器中的关键漏洞（CVE-2024-40711，CVSS 评分 9.8），该漏洞已于2024年9月被修补。2025年4月，有报道称Fog攻击者在勒索软件攻击中使用电子邮件作为初始感染媒介，勒索便条中使用的语言似乎在嘲讽埃隆・马斯克的政府效率部（DOGE），试图激怒受害者。此外，该攻击活动的一个显著特点是，勒索便条还提供了“免费解密”选项，但条件是受害者选择将勒索软件传播到他人的计算机上。

在最近的这次攻击事件中，攻击者使用的初始感染媒介尚不明确，但有两台受感染的机器是Exchange服务器，尽管没有证据表明它们是初始感染媒介，但利用Exchange服务器的漏洞是勒索软件攻击者常用的初始感染途径。网络上首次出现的可疑活动是安装了多个开源的后渗透测试工具，包括GC2工具的变种。这是一种开源工具，允许攻击者使用Google表格或Microsoft SharePoint列表在目标机器上执行命令，并使用Google Drive或Microsoft SharePoint文档渗出文件。GC2植入程序会轮询Google表格或SharePoint列表中的每个操作命令，然后用它来存储输出、日志，并记录配置的执行轮询间隔，攻击者用它来执行各种发现命令，如whoami、net use、ipconfig /all、netstat -anot|findstr 3389等，在与远程攻击者通信时，GC2工具还会检查“exit”“load”“upload”“download”等命令，它包含两个编码形式的嵌入式配置块，该工具此前未在勒索软件攻击中出现过。

开源的Stowaway代理工具被用来传递Syteca（前身为Ekran）可执行文件，目前尚不清楚攻击者具体如何使用Syteca工具，在攻击中该文件名为'sytecaclient.exe'，但也以'update.exe'的名称出现，Syteca是合法的员工监控软件，具有记录屏幕活动和监控击键等功能，该可执行文件加载了多个库，表明它可能被用于信息窃取或间谍活动，考虑到该工具的键盘记录和屏幕捕获功能，这很可能是攻击者部署它的原因。攻击者还执行了几个看似删除或终止Syteca可执行文件的命令，这似乎是攻击者试图删除其在网络上活动的指示器和证据，以避免被检测到，同时，PsExec和SMBExec也与Syteca和GC2一起用于在受害者网络中横向移动，SMBExec被用来启动Syteca，PsExec则被用来横向执行GC2后门的疑似进程watchdog/launcher。

为了窃取数据，攻击者还下载了多个文件传输实用程序，包括FreeFileSync和MegaSync，以及使用7-zip来归档敏感目录。此外，攻击者还使用了Adaptix C2 Agent Beacon，它是开源的可扩展后渗透和对抗性仿真框架 Adaptix C2的一个组件，专为渗透测试人员设计，此次攻击中使用的变种包含一个加密形式的配置块，Adaptix可以被视为知名的Cobalt Strike框架的一种开源替代品，Adaptix信标代理类似于 Cobalt Strike 信标，一旦植入受害者机器，就会回调攻击者并提供命令和控制（C&C）访问。攻击者还使用了 Process Watchdog，该程序持续枚举正在运行的进程以检查特定进程，在这种情况下是GC2进程，其文件名为AppxModels.exe，如果在机器上未找到该进程，Process Watchdog就会创建该进程。在部署Fog勒索软件的当天，还使用了Impacket SMB工具，这表明它可能被用于部署勒索软件，值得注意的是，在部署勒索软件几天后，运行了一个服务来在受害者网络上建立持久性，这可能是另一个用于启动攻击者的命令和控制工具（如 GC2）的进程watchdog。

此次勒索软件攻击有几个不寻常之处，攻击者部署的工具集对于勒索软件攻击来说相当不典型，Syteca客户端和GC2工具此前未在勒索软件攻击中部署过，而Stowaway代理工具和Adaptix C2 Agent Beacon也是在勒索软件攻击中不常见的工具，攻击者在部署勒索软件后在受害者网络上建立持久性，这在勒索软件攻击中也不常见。这些因素意味着这家公司实际上可能是被以间谍活动为目标，而勒索软件攻击仅仅是一个诱饵，或者可能是攻击者在进行间谍活动的同时，也试图通过勒索软件攻击赚些钱。

参考链接：

https://www.security.com/threat-intelligence/fog-ransomware-attack