近期,新冠肺炎在韩国大爆发,不过某些思密达们好像不是很在意,一句哈利路亚,23333
而一些长期针对韩国的APT组织也开始利用疫情相关新闻开始搞事,安全研究人员发现一例kimsuky利用疫情搞事情的样本。
样本相关信息如下
样本运行后显示如下内容诱导受害者启用宏
当受害者启用宏之后,便会显示疫情相关文档迷惑受害者
而恶意宏会从vnext.mireene[.]com/theme/basic/skin/member/basic/upload/search.hta下载Hta文件执行
但发现时已经无法获取Hta文件了。
不过有兴趣的大佬可以分析分析之前的同源样本
在anyrun沙箱还可以看到hta文件