Kimsuky（APT-Q-2）组织近期 Endoor 恶意软件分析

主要观点总结

本文介绍了近期发现的Kimsuky组织使用的Endoor后门软件的分析结果，包括样本信息、通信方式、指令功能等。Endoor后门具有多种恶意功能，且攻击者在掩盖攻击行为方面采取了独特手段。总结本次发现的Endoor后门在功能上变化不大，但攻击者掩盖攻击的方式别出心裁。防护建议包括谨防钓鱼攻击，及时更新安装补丁等。

关键观点总结

关键观点1: Kimsuky组织背景及攻击目标

Kimsuky是一个APT组织，主要攻击目标为韩国，涉及多个领域，以机密信息窃取为主。

关键观点2: Endoor后门软件概述

Endoor是一种后门软件，使用Go语言编写，近期被Kimsuky组织使用。它具有多种恶意功能，如创建Shell、执行远程命令、建立TCP连接等。

关键观点3: Endoor后门通信方式

Endoor后门通过POST请求与C&C服务器进行通信，获取指令和回传数据。使用的URL为hxxp://june.drydate.p-e.kr:53/，端口号非常规的80或443端口。

关键观点4: Endoor后门功能及特点

Endoor后门具有多种指令功能，如休眠、执行Shell命令、获取文件信息等。攻击者在掩盖攻击行为方面采取了独特手段，如使用伪装成开源代码的文件路径和非常规端口。

关键观点5: 防护建议

用户需提高警惕，谨防钓鱼攻击，及时更新安装补丁。运行未知应用前，可通过文件深度分析平台进行判别。

免责声明