朝鲜黑客通过伪装Excel文件攻击药企,窃取机密数据

朝鲜政府支持的黑客组织Kimsuky近期针对处方药制药企业发起定向攻击，使用名为"White Life Science ERP Specification"的精心伪装恶意文件。攻击者通过伪造Excel文档诱骗员工运行恶意代码，从而悄无声息地获取受害者系统访问权限。此次攻击表明，高级威胁行为体仍在依赖简单但有效的欺骗手段入侵敏感行业。

该恶意软件以名为White Life Science ERP Specification.lnk的Windows快捷方式文件形式出现，其图标被伪装成Excel表格。当用户打开这份看似普通的业务文档时，一系列隐藏脚本将在后台悄然运行，不留下任何可见感染痕迹。

Part01

攻击手法分析

攻击者伪装成一家同时生产非处方药和处方药的制药企业，使诱饵文档对目标对象显得专业可信。Wezard4u安全分析师发现，这个.lnk文件实质上是多载荷容器，内含诱饵Excel文件、PowerShell脚本、JavaScript文件以及Windows任务计划程序XML文件，全部压缩在一个23,079字节的快捷方式中。

执行后，PowerShell会静默提取并依次运行每个组件，使感染过程完全隐蔽。完整执行链路径为：LNK→XML→JavaScript→PowerShell，这种设计使得在单个阶段检测攻击变得极为困难。

Part02

行业影响评估

此次攻击影响重大，因为制药行业存储着敏感研究数据、患者记录和专有药物配方。Kimsuky长期以学术、政府和研究机构为目标，此次行动标志着其向生命科学领域的明显扩张。若攻击成功，黑客可能窃取机密临床数据或长期监控内部通讯。

安全团队可通过以下文件特征进行检测：

文件名：White Life Science ERP Specification.lnk
MD5：5c3bf036ab8aadddb2428d27f3917b86
SHA-1：e9c16aa2e322a65fc2621679ca8e7414ebcf89c0
SHA-256：d4c184f4389d710c8aefe296486d4d3e430da609d86fa6289a8cea9fde4a1166

Part03

感染与驻留技术细节

当受害者打开伪造Excel文件时，cmd.exe会通过SysWOW64路径调用PowerShell，刻意在64位Windows系统上运行32位PowerShell版本，以此规避仅监控64位进程的安全工具。

PowerShell脚本使用XOR 0xC7编码解密内嵌载荷，将其释放到名为C:\sysconfigs的隐藏文件夹（该名称酷似合法Windows系统目录）。主要保存两个关键文件：作为主载荷的opakib.ps1和作为JavaScript启动器的copa08o.js。随后，JavaScript文件被注册为名为"Avast Secure Browser VPS Differential Update Ex"的计划任务，伪装成正常的浏览器更新进程。

激活后，opakib.ps1通过官方API连接Dropbox，将其转为临时命令控制服务器。它会收集受害者域名、用户名、操作系统版本、公网IP地址和运行进程列表，使用RC4和Base64编码后上传至Dropbox。攻击者随后可将自定义命令文件放入Dropbox，由恶意软件下载并在受感染机器上静默执行。

Part04

防护建议

制药企业和安全团队应立即采取以下防护措施：

在Windows设置中启用文件扩展名显示功能，避免.lnk文件被误认为Excel文档
监控并限制通过SysWOW64路径执行的PowerShell
定期审计Windows计划任务中的陌生条目
标记企业网络内异常的Dropbox API连接
将上述文件哈希值添加到终端检测平台，快速识别隔离受感染系统

参考来源：

North Korean Hackers Attacking Drug Companies to Deploy Malware Via Weaponized Excel Files

https://cybersecuritynews.com/north-korean-hackers-attacking-drug-companies/

推荐阅读

攻击手法分析

行业影响评估

感染与驻留技术细节

防护建议

电报讨论