文章总结： 朝鲜黑客组织Kimsuky近期针对制药企业发起定向攻击，使用伪装成Excel文档的恶意LNK文件诱骗员工执行多阶段载荷。攻击通过SysWOW64路径运行PowerShell规避检测，最终通过Dropbox进行数据窃取。文档提供了具体文件哈希值和防护建议，包括显示文件扩展名、监控异常进程等可操作措施。 综合评分： 82 文章分类： 恶意软件,威胁情报,应急响应,安全运营,漏洞预警

【安全圈】朝鲜黑客通过伪装Excel文件向制药公司投放恶意软件

安全圈

2026年4月28日 19:01 江苏

在小说阅读器读本章

去阅读

关键词

恶意软件

朝鲜政府支持的黑客组织Kimsuky近期针对处方药制药企业发起定向攻击，使用名为”White Life Science ERP Specification”的精心伪装恶意文件。攻击者通过伪造Excel文档诱骗员工运行恶意代码，从而悄无声息地获取受害者系统访问权限。此次攻击表明，高级威胁行为体仍在依赖简单但有效的欺骗手段入侵敏感行业。

该恶意软件以名为White Life Science ERP Specification.lnk的Windows快捷方式文件形式出现，其图标被伪装成Excel表格。当用户打开这份看似普通的业务文档时，一系列隐藏脚本将在后台悄然运行，不留下任何可见感染痕迹。

攻击手法分析

攻击者伪装成一家同时生产非处方药和处方药的制药企业，使诱饵文档对目标对象显得专业可信。Wezard4u安全分析师发现，这个.lnk文件实质上是多载荷容器，内含诱饵Excel文件、PowerShell脚本、JavaScript文件以及Windows任务计划程序XML文件，全部压缩在一个23,079字节的快捷方式中。

执行后，PowerShell会静默提取并依次运行每个组件，使感染过程完全隐蔽。完整执行链路径为：LNK→XML→JavaScript→PowerShell，这种设计使得在单个阶段检测攻击变得极为困难。

行业影响评估

此次攻击影响重大，因为制药行业存储着敏感研究数据、患者记录和专有药物配方。Kimsuky长期以学术、政府和研究机构为目标，此次行动标志着其向生命科学领域的明显扩张。若攻击成功，黑客可能窃取机密临床数据或长期监控内部通讯。

安全团队可通过以下文件特征进行检测：

• 文件名：White Life Science ERP Specification.lnk
• MD5：5c3bf036ab8aadddb2428d27f3917b86
• SHA-1：e9c16aa2e322a65fc2621679ca8e7414ebcf89c0
• SHA-256：d4c184f4389d710c8aefe296486d4d3e430da609d86fa6289a8cea9fde4a1166

感染与驻留技术细节

当受害者打开伪造Excel文件时，cmd.exe会通过SysWOW64路径调用PowerShell，刻意在64位Windows系统上运行32位PowerShell版本，以此规避仅监控64位进程的安全工具。

PowerShell脚本使用XOR 0xC7编码解密内嵌载荷，将其释放到名为C:\sysconfigs的隐藏文件夹（该名称酷似合法Windows系统目录）。主要保存两个关键文件：作为主载荷的opakib.ps1和作为JavaScript启动器的copa08o.js。随后，JavaScript文件被注册为名为”Avast Secure Browser VPS Differential Update Ex”的计划任务，伪装成正常的浏览器更新进程。

激活后，opakib.ps1通过官方API连接Dropbox，将其转为临时命令控制服务器。它会收集受害者域名、用户名、操作系统版本、公网IP地址和运行进程列表，使用RC4和Base64编码后上传至Dropbox。攻击者随后可将自定义命令文件放入Dropbox，由恶意软件下载并在受感染机器上静默执行。

防护建议

制药企业和安全团队应立即采取以下防护措施：

1. 在Windows设置中启用文件扩展名显示功能，避免.lnk文件被误认为Excel文档
2. 监控并限制通过SysWOW64路径执行的PowerShell
3. 定期审计Windows计划任务中的陌生条目
4. 标记企业网络内异常的Dropbox API连接
5. 将上述文件哈希值添加到终端检测平台，快速识别隔离受感染系统

END

阅读推荐

【安全圈】潜伏 8 年的漏洞，WPS 365 轻舟 AI 如何从源头免疫？

【安全圈】大小仅 1KB！最具毁灭性的切尔诺贝利病毒感染 6000 万台电脑：清空硬盘数据、改写主板 BIOS

【安全圈】超一万台 Zimbra 服务器易受持续 XSS 攻击

【安全圈】89TB数据灰飞烟灭！北京一科技公司工程师“删库”获刑5年

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】朝鲜黑客通过伪装Excel文件向制药公司投放恶意软件》