2025 年 9 月初,一名简称为“Kim”的网络行为者发生了大规模数据泄露事件,这暴露了对 Kimsuky (APT43) 行动手册的前所未有的了解。
此次泄密事件包括终端历史文件、网络钓鱼域、OCR 工作流程、编译的暂存器和完整的 Linux rootkit,揭示了一场以凭证为中心的活动,该活动针对韩国政府 PKI 系统和台湾学术网络。
这些工件包括展示使用 NASM 进行迭代 shellcode 开发的 bash 历史记录,以及用于从与 PKI 和 VPN 部署相关的韩语 PDF 文档中提取配置的 OCR 命令。
此次泄露的范围凸显了技术的演变,将老式的 rootkit 持久性与复杂的中间对手网络钓鱼基础设施融为一体。
Domaintools 分析师发现了域名遥测的证据,这些证据表明存在一个庞大的恶意网站网络,这些网站模仿韩国官方门户网站,包括 nid-security.com 和 webcloud-notice.com。
这些网站使用实时 TLS 代理来拦截凭据,这是从基于文档的收集到主动 AiTM 拦截的显着转变。
该转储还包含 PAM 日志,详细说明了 oracle、svradmin 和 app_adm01 等高权限帐户的管理密码轮换(标记为 변경완료(“更改完成”))。明文 GPKI 密钥文件,如 136백운규001_env.key证实了韩国政府加密资产的直接泄露。
除了韩国之外,Domaintools 研究人员还指出,该行为者对台湾政府和研究机构进行了有针对性的侦察,访问 .git 目录来枚举暴露的源存储库并收集嵌入的秘密。
163.29.3.119 和 118.163.30.45 等 IP 地址注册到台湾政府骨干网,凸显了对供应链的深思熟虑的探测。
与网络钓鱼工具包相关的刻录电子邮件地址的存在,以及针对 gitee.com 和 baidu.com 的侦察日志,反映了朝鲜和中国的混合足迹,利用中国的基础设施进行中期和规避。
感染机制
对恶意软件感染机制的仔细检查揭示了一个两阶段加载程序,它将自定义 shellcode 与公开可用的框架相结合。
初始有效负载是一个手工制作的 NASM shellcode 存根,使用诸如 的标志编译,旨在通过散列导入表分配内存并通过散列导入表解析 Win32 API 调用:--f win32VirtualAlloc
; start.asm
BITS 32
extern VirtualAlloc
section .text
_start:
push 0
push 4096
push 0x3000
push -1
call [VirtualAlloc]
; Hash API resolution and payload injection follows分配内存后,加载程序会在传输执行之前解密辅助有效负载(通常是 CobaltStrike 派生的暂存器)并将其修补到进程中。
这种方法避免了基于签名的检测,因为 shellcode 是多态的,并且 API 调用被简单的 XOR 哈希例程混淆。
持久性是通过定制的 Linux rootkit 实现的,它钩住系统调用,例如 和 以隐藏文件、目录和网络套接字。vmmisc.koreadgetdents
通过 插入后,rootkit 会解压缩嵌入式用户空间后门二进制文件,然后安装受密码保护的 SOCKS5 代理和基于 PTY 的反向 shell ()。insmod /usr/lib64/tracker-fs/vmmisc.kotesttest
Rootkit 的双模式二进制嵌入技术合并了内核模块和用户空间可执行文件,只保留磁盘上的文件以阻止取证发现。.ko
这种感染链强调了手动工具组装和 TitanLdr 和 Blacklotus 等开源存储库的机会性使用的结合,表明 Kimsuky 日益复杂。
韩国和台湾的组织现在必须预见多阶段的凭据优先攻击,这些攻击将低级 shellcode 工程与隐蔽的内核模式植入相结合。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
