疑似Kimsuky（APT-Q-2）针对韩国企业发起攻击

主要观点总结

本文介绍了近期发现的恶意软件活动，与已知的Kimsuky组织攻击活动具有相似性。文章详细描述了恶意软件的功能、行为及其与C服务器的通信过程，并提供了相关的溯源关联、防护建议等。同时，给出了相关的IOC和URL信息。

关键观点总结

关键观点1: 恶意软件概述

文章描述了一批与Kimsuky历史样本相似的恶意软件，其中包括Dropper、后门和其他的恶意软件。

关键观点2: 恶意行为分析

恶意软件通过伪装成合法文件、添加随机数据避免唯一的文件hash、使用regsvr32.exe启动DLL样本等方式进行攻击。两个后门样本使用动态域名作为C服务器，实施进一步行动。

关键观点3: 新特性

新版后门只在具有特定主机名的机器上执行核心恶意代码，体现了高度定向性。前期可能有其他信息操作以筛选目标。

关键观点4: 防护建议

奇安信威胁情报中心提醒用户谨防钓鱼攻击，避免执行未知来源的文件和安装非正规途径的APP。建议使用奇安信威胁情报文件深度分析平台进行文件判别。

免责声明