新冠疫情的发展动态，仍然是全球关注的焦点，目前国外确诊病例已经超过300万，美国确诊病例将接近100万。新冠病毒是我们人类共同面对的“敌人”，在每个国家的共同努力抗疫下，我们终会战胜病毒。

随着疫情的发展，各行各业都受到严重影响，尽管在如此困难的情况下，不法黑客组织仍然没有放弃网络攻击活动，从疫情一开始我们便追踪到多次利用疫情话题进行攻击的安全事件，在3月初，疑似Kimsuky APT组织就利用新冠疫情对韩国进行网络攻击，通过投放大量的疫情相关的诱饵文档进行攻击。Kimsuky APT组织一直针对韩国的智囊团、政府组织、新闻组织和大学教授等发动攻击活动，其使用的C2也常常与这些组织有一定的关联。

近期，亚信安全网络安全实验室关注到疑似Kimsuky APT组织利用假冒的ESET安全软件更新程序进行信息收集的恶意活动，该文件伪装成ESET更新程序，运行后，会有ESET软件更新成功的窗口提示，诱导用户相信其为正常程序。亚信安全将此文件检测为Backdoor.Win32.KIMSUK.A。

病毒详细分析

该病毒首先会创建互斥体GoogleUpdate_01，以防止多次运行。

该病毒为了免杀，使用的函数、文件、文件路径和注册表名称等全部进行加密处理。

具体的字符串解密函数中利用了运算指令，程序多次被调用该函数进行解密。

获取要使用的函数地址，主要是网络请求相关模块的函数。

病毒通过将文件复制到临时目录并且添加启动项进行持久化。然后弹窗提示ESET更新成功，诱导用户。

根据本机网络信息和系统版本信息生成后续网络请求URL所需要的字段值。

根据系统版本等信息生成Note字段所需要的值。

通过注册表等信息生成域名。

然后通过创建新的线程进行网络请求，通过前面获取的domain+m+NOTE结构组成请求的URL，然后构造HTTP请求结构。

然后使用GET方法，从远端的服务器请求数据。

请求的数据如下，经过base64解密后，其是收集系统新的命令。

我们注意到请求回来的数据有tiger|等之类的标识。程序会识别这些标识，然后进行不同的行为。如果是tiger标识，将会通过WinExec函数执行cmd指令，通过以上请求回来的数据，我们发现这些指令是收集设备系统，文件以及驱动器等信息。然后将这些信息写入到临时目录中的tmp.LOG文件中，回传给服务器。

通过HttpSendRequestA函数进行信息回传。

C2服务器返回的数据指令都是通过动物名称命名，该样本也对此进行了解析，除了tiger标识外，还有lion，wolf，monkey，fox和 cat等标识，每个标识对应的处理方式也不一样。

例如monkey标识会通过创建进程的方式执行下载的文件。

如果是fox标识和cat标识等相关的，除了执行文件外将还会对注册表信息进行操作。

关联分析

通过对Kimsuky APT组织的关联分析，其使用的域名大多数都和政府等组织有关联，本次使用的域名仍然使用包含org相关字段的域名，开源情报平台已经可以对其识别。以前使用过的域名：

本次使用的域名信息：

该组织以往的样本中，通过VBS脚本或者PowerShell命令进行信息收集。本次虽然方式改变，但是信息收集指令没有多大变化，在Windows平台使用dir，systeminfo命令等。

仿冒成软件更新程序这种攻击方式是较为常见的，例如之前有通过伪装成微软的更新补丁的恶意程序，当用户运行后，其会提示补丁安装成功，让用户误以为其是正常的程序。所以我们在使用软件时，要在软件开发商的官方网站下载程序，一般软件的更新程序都会在自身原本的旧版本中进行更新后覆盖，无需额外下载软件操作。尤其是企业用户，当收到相关软件更新的邮件时，更加要谨慎和判断其内容的真实性。

解决方案

不要点击来源不明的邮件以及附件；

请到正规网站下载程序；

采用高强度的密码，避免使用弱口令密码，并定期更换密码；

打开系统自动更新，并检测更新进行安装；

IOC

*本文作者：亚信安全，转载请注明来自FreeBuf.COM