朝鲜APT组织Kimsuky十年来持续升级迭代其攻击武器——每周威胁情报动态第248期（11.21-11.27）

朝鲜APT组织Kimsuky十年来持续升级迭代其攻击武器

近日，网络安全研究人员新发现了朝鲜背景APT组织Kimsuky长期活跃的KimJongRAT恶意软件变种攻击活动。该恶意软件自2013年首次被命名以来，历经十余年持续迭代，如今已形成PE文件与PowerShell脚本双轨攻击模式。

早在2013年，网络安全研究人员首次发现KimJongRAT恶意软件，该软件被设计用于收集浏览器和系统信息，并将其外泄至远程命令与控制（C&C）服务器。研究人员通过PDF文件中记录的作者名与相关人物关联，还有开发者默认的资源区域语言信息为朝鲜语，Gmail登录密码提示也采用朝鲜语编写等指标，研究人员迅速将其与朝鲜攻击组织关联起来。自2018年以来，KimJongRAT的变种频繁出现在Kimsuky组织的多个行动中，如“Operation Baby Coin”、“Operation Giant Baby”和“BabyShark”攻击活动。这些行动主要针对韩国政府公共部门和个人，旨在窃取敏感数据，包括浏览器凭证、电子邮件和加密货币钱包信息。进入2025年，Kimsuky组织的攻击进一步升级，不仅优化了恶意软件的架构，还扩展了钓鱼范围，标志着该组织从单纯间谍活动向金融盗窃的全面转型，这为全球网络安全生态敲响了警钟。

Kimsuky组织的攻击链条通常以精心伪造的钓鱼电子邮件拉开序幕，这些邮件冒充韩国政府机构，如性别平等与家庭部（MOGEF）或国家税务局（NTS），并强调紧急截止期限以制造心理压力。攻击者利用PHPMailer6.9.1版本从特定IP地址发送邮件，邮件中嵌入指向GitHub发布页面的链接，例如microstrategy743/dev仓库。这些链接通过重定向器伪装，实际下载ZIP文件，内含诱饵文档和伪装成TXT文件的LNK快捷方式。受害者点击LNK文件时，会被提示输入密码，这实际上触发了隐藏的有效载荷执行。技术分析显示，早期的攻击依赖PDF变种，但从2025年9月起，攻击者转向DOC文件和HTA文件，这些文件使用宏代码和VBScript进行混淆，通过ASCII转换、十进制/十六进制运算等方式编码，最终运行Base64编码的PowerShell命令。HTA文件还会从Google Drive下载密码文件，并通过“sc query WinDefend”命令检查Windows Defender状态：如果服务停止，则下载PE格式有效载荷；如果运行中，则切换至PowerShell脚本。这种条件分支机制确保了攻击的适应性，避免了单一路径的易检测性。

一旦感染成功，KimJongRAT的持久化模块立即激活，以确保长期驻留。PE变种使用互斥锁“gjurkn”防止重复实例，并在注册表Run键中注册“rundll32 %localappdata%sys.dll,s”以实现自启动。PowerShell变种则在HKCUSoftwareMicrosoftWindowsCurrentVersionRunWindowsSecurityCheck下注册“1.vbs”脚本，实现文件轻量级执行。攻击者从2024年开始整合PE和PowerShell类型，实现这种双重架构，并在2025年夏季实现统一，大大提升了恶意软件的隐蔽性和兼容性。

命令与控制通信依赖于C&C服务器，数据上传采用Multipart POST格式，使用XOR（密钥0xFE）和RC4加密保护；响应则通过/in端点下载文件（以“ABCDEFGHIJKLMNOP”分隔符标识），/cmd端点执行远程命令，/cok端点更新C&C URL。外泄数据路径直接指向钓鱼站点。有效载荷交付过程高度加密：PE文件使用AES或RC4（以文件头为密钥）进行加解密，确保在传输中不易被拦截。

在规避检测方面，Kimsuky组织展示了精湛的技术深度。恶意软件内置反虚拟机检查，通过查询注册表键和系统制造商信息来识别沙箱环境。混淆技术包括Base64编码、字符串替换密码（如ROT13变体）和ROR哈希API解析，以动态加载Windows函数。反射式DLL注入是其核心创新之一：例如，将app64.log注入低完整性chrome.exe进程中，从而提取Chrome ABE主密钥，用于解密cookies和密码，而无需完整解密模块。此外，攻击者应用Themida和UPX打包器保护DLL文件，并通过进程空洞化和内存注入实现无文件执行。从2025年起，KimJongRAT扩展了数据采集范围，包括Chrome、Edge、Whale和Firefox浏览器的凭证；Telegram聊天记录；以及加密钱包扩展的钱包数据。键盘记录器以0.001秒间隔捕获输入（结合窗口标题过滤），剪贴板采集器每0.05秒检查内容（使用ROR哈希比对敏感关键词），并外泄最近文件和GPKI/NPKI证书。这种演化不仅限于间谍攻击活动，还包括登录钓鱼和针对加密钱包的鱼叉式钓鱼，标志着攻击者从国家安全需要向个人金融账户的全面渗透。

图 1 攻击流程示意图

参考链接：

https://www.enki.co.kr/media-center/blog/kimsuky-s-ongoing-evolution-of-kimjongrat-and-expanding-threats

APT组织ToddyCat升级攻击手段，瞄准企业邮件数据

近日，网络安全研究人员了ToddyCat APT组织针对企业邮件系统的新型攻击活动。该组织通过不断迭代攻击工具与技术，突破传统防御体系，重点窃取目标单位员工的Outlook邮件数据及相关敏感信息，涉及2024年下半年至2025年初多起攻击入侵事件，对企业数据安全构成严重威胁。

ToddyCat组织自2020年起活跃于网络空间，以窃取Microsoft Outlook中的邮件数据为核心目的，其行动隐蔽、手法老道，已在亚欧多个国家的政府外交、国防科研与高端制造圈层留下踪迹。这些攻击并非简单的数据窃取，而是专注于获取企业内部的商业通信记录，尤其是在域控制器等关键基础设施上建立持久化后，进一步渗透到Outlook邮箱文件层面。ToddyCat组织的这一轮活动源于其早期工具TomBerBil被检测后的快速迭代，攻击者通过开发新型PowerShell变体和自定义二进制工具，成功绕过了传统安全监控，凸显了该组织在反侦察方面的持续进化。

攻击初期，ToddyCat通常利用已获得的域管理员权限，在受害者网络的域控制器上部署持久化机制。他们通过Windows计划任务执行PowerShell脚本，例如以“powershell -exec bypass -command 'c:programdataip445.ps1'”的形式启动恶意负载，从而在系统启动时自动加载。这种方法确保了攻击者在网络内部的长期驻留，而不触发明显的警报。随后，攻击者转向命令与控制（C2）阶段，利用SMB协议实现远程文件访问和操作，这是一种常见却高效的横向移动方式。通过SMB共享，他们扫描并复制目标主机的敏感文件，例如浏览器数据目录下的cookies、历史记录和登录凭据，目标包括Chrome、Edge和Firefox浏览器。这些文件被批量传输到攻击者控制的路径，并通过解析主机名列表（如uhosts.txt）来系统化地扩展目标范围。数据收集过程中，ToddyCat组织特别注重解密机制，他们从Windows的DPAPI（数据保护API）密钥存储中提取Protect和Credentials文件夹的内容，这些密钥允许本地解密浏览器存储的加密数据，从而获取完整的会话令牌和凭据信息。

在技术分析层面，这一攻击链的核心在于ToddyCat组织开发的定制工具组合，这些工具组合不仅高效，还高度针对Outlook的特定弱点。以TomBerBil的PowerShell变体为例，该工具通过SMB协议远程访问用户配置文件，复制浏览器文件如“Login Data”、“Local State”和Firefox的“signons.sqlite”，并利用DPAPI密钥进行即时解密，整个过程无需额外权限提升，却能覆盖多个用户会话。这种变体的隐蔽性源于对系统原生API的深度滥用，攻击者还引入了TCSectorCopy（一款32位C++工具），用于逐块复制Outlook的OST（离线存储表）文件。这些文件往往被操作系统锁定，无法通过标准API访问，但TCSectorCopy通过以只读模式直接打开磁盘卷，绕过文件锁机制，实现无缝复制。复制完成后，工具XstReader（一款开源C）被调用，将OST内容解析为HTML、RTF或TXT格式，便于后续分析。为了提升效率，ToddyCat还部署SharpTokenFinder，这是一个C，使用MiniDumpWriteDump从OUTLOOK.exe进程中提取JWT令牌，若进程受保护，则回退到ProcDump进行全内存捕获。最终，攻击者将收集的数据通过WinRAR归档后，经SMB通道外传至攻击者主机，整个链条的调试信息暴露了其开发痕迹。

图 2 攻击链示意图

参考链接：

https://securelist.com/toddycat-apt-steals-email-data-from-outlook/118044/

Lokibot远程访问木马（RAT）利用一种升级版的.NET隐写加载器进行传播

在网络安全威胁日趋复杂的当下，网络安全研究人员近日发现了一种升级版的.NET隐写加载器，该加载器通过先进的隐写术技术隐藏并部署Lokibot远程访问木马（RAT），对全球Windows系统用户构成严重风险。这一发现源于研究人员在2025年8月对类似.NET加载器的初步分析，当时他们曝光了其用于分发Quasar RAT等恶意软件的机制，而今这一变种进一步强化了反检测能力，凸显了攻击者对传统安全工具的持续适应与演化。

Lokibot作为一款历史悠久的恶意软件，自2015年在地下论坛首次现身以来，便以其低成本和高灵活性著称。2018年其源代码泄露后，该木马迅速泛滥成灾，不仅针对Windows系统，还扩展至Android平台，主要功能包括窃取浏览器和应用凭证、加密货币钱包数据、记录键盘输入，并为后续攻击植入后门。攻击者通常通过钓鱼邮件、恶意附件或多阶段下载器传播Lokibot，并辅以混淆和规避技术以逃避扫描。此次升级版加载器伪装成合法的商业文档，例如“报价请求（RFQ）”文件，诱导受害者解压并打开，从而悄无声息地启动感染链条。研究人员通过自定义YARA规则识别出多个此类样本，样本的PE时间戳显示，即使是旧版构建也在近期活跃，表明Lokibot相关活动并未消退，而是持续演进为更隐蔽的形式。

攻击过程从受害者双击伪装文件开始，表面上这是一个无害的文档，但实际触发了一个精心设计的.NET加载器执行流程。该加载器首先解析自身元数据中的资源条目，利用get_crc()和get_IVBD()等方法定位隐藏数据，尽管其资源中不直接包含blob数据块，却能从内存中解密并加载一个额外的容器模块。这一模块充当“藏宝箱”，在分配的进程内存中驻留，并内嵌两段独立的启动器。这些启动器被巧妙隐藏在图像文件中——一个是.bmp格式，另一个是.png格式。这些图像并非随意添加，而是通过与此前Quasar RAT变种相似的解密算法嵌入.NET资源元数据中，只有在运行时才被动态加载和提取。

技术分析显示，这一隐写机制是加载器升级的核心创新点。与早期版本直接将启动器嵌入资源不同，新变种将图像置于解密后的容器模块内部，这大大提高了静态检测的难度，因为安全工具难以在文件静态状态下识别这些“伪装”图像。研究人员采用PixDig工具，一种专为图像隐写提取而优化的自定义工具，对这些图像进行强制解码和解密。首先，从.bmp图像中提取第一个启动器，随后从.png图像的加密数据块中还原最终负载，即Lokibot木马。整个解密过程涉及多层密钥处理和内存注入，确保负载在不落地磁盘的情况下直接执行。Lokibot 一旦激活，便启动系统信息收集、凭证窃取、进程注入和持久化机制，例如通过XML创建计划任务，并在%temp%或Windows字体目录下放置可疑可执行文件或脚本。同时，它会发起DNS查询以连接命令与控制（C2）服务器，实现数据外泄。

这一攻击链条映射到MITRE ATT&CK框架，涵盖发现（T1082）、凭证访问（T1555、T1552.002）、防御规避（T1055、T1134）、持久化（T1053）等多项战术和技术，体现了攻击者的专业性。

图 3 新变体.NET隐写加载器执行流程示意图

参考链接：

https://www.splunk.com/en_us/blog/security/updated-net-steganography-loader-lokibot-malware-analysis.html

新型威胁家族Yurei勒索软件加密结构深度剖析

近日，一个名为Yurei的新型勒索软件组织首次被公开识别，该组织迅速在全球范围内发起攻击，已造成斯里兰卡和尼日利亚多个行业企业受影响。攻击目标集中在运输物流、IT软件、营销广告及食品饮料等领域。与传统勒索软件运营模式类似，Yurei组织通过渗透企业网络、加密核心数据、删除各类备份后，借助专属暗网站点与受害者取得联系，以窃取的信息为要挟索要赎金。赎金金额会根据受害企业的财务状况个案评估，但具体金额范围尚未公开。目前也无证据表明该组织参与勒索软件即服务（RaaS）模式或与其他团伙存在合作，且未出现品牌重塑或修改现有勒索软件的相关报告。

从技术架构来看，Yurei勒索软件基于Go语言开发，其运作流程展现出精准的攻击设计。与多数勒索软件不同，该勒索软件在启动时未执行权限修改、参数设置、互斥体创建或字符串解密等特殊初始化流程，而是直接进入加密准备阶段。其核心步骤是先获取当前执行环境的驱动器信息，通过遍历所有驱动器路径筛选加密目标，确保攻击覆盖企业关键数据存储区域。为避免系统因核心文件加密而瘫痪，Yurei预设了明确的加密排除规则，涵盖19个关键系统目录，包括windows、system32、programdata等系统核心文件夹；14类文件扩展名，如.sys、.exe、.dll等系统运行必需文件格式，以及已加密文件标记扩展名.Yurei；此外还明确排除了boot、bootmgr、_README_Yurei.txt等7类关键文件和赎金通知文件，既保证勒索软件自身正常运行，也让受害者能够查看赎金要求并进行谈判。

在文件加密环节，Yurei采用双重加密机制构建安全壁垒。该勒索软件首先使用ChaCha20-Poly1305算法进行文件加密，生成32字节密钥和24字节随机数，随后通过嵌入的公钥，采用secp256k1-ECIES加密方式对上述密钥和随机数进行二次加密，并将加密后的关键信息存储在加密文件内部。secp256k1-ECIES机制的运作依赖椭圆曲线迪菲-赫尔曼（ECDH）算法，通过勒索软件内置公钥与生成的临时私钥创建共享密钥，再经密钥派生函数转换为AES-GCM算法的加密密钥。同时结合随机生成的临时随机数，确保每次加密结果唯一。这一设计使得只有持有对应secp256k1-ECIES私钥的攻击者才能解密文件，既避免加密密钥直接暴露，又通过每次使用不同临时密钥，断绝受害者自行恢复数据的可能。文件加密过程以64KB为块单位处理，加密数据写入前，会先存储经secp256k1-ECIES加密后的32字节密钥和24字节随机数，并用“||”作为分隔符，随后依次写入加密数据，形成结构化的加密文件格式。

Yurei组织在勒索通知中释放出强硬威胁信号，声称已完全或部分入侵受害企业内部基础设施，彻底清除所有可访问的虚拟与物理备份，并在加密前窃取了大量企业数据。通知中警告受害者，自行尝试恢复或寻求外部恢复服务可能导致数据损坏和永久丢失，若延迟谈判或五天内未回应，攻击者将删除解密密钥，在暗网公开或出售窃取的数据，并向监管机构及竞争对手披露相关信息。同时，通知中强调已获取数据库、财务文件、法律记录和个人信息等关键数据，试图通过多重施压迫使受害者妥协。此外，通知中也提及将根据企业财务状况、银行对账单、收入及投资情况提出合理赎金要求，若受害者拥有网络保险，还会提供相关使用指导，并承诺支付赎金后24小时内可恢复正常运营，且对所有文件和系统均有效，支持随时测试解密功能，同时会提供包含攻击漏洞细节的安全报告。

图 4 secp256k1-ECIES 的工作原理

参考链接：

https://asec.ahnlab.com/en/90975/