文章总结： Genians披露Konni组织利用谷歌广告和DoubleClick重定向进行鱼叉式钓鱼，针对韩国机构传播EndRAT恶意软件。攻击通过合法广告平台绕过防护，利用伪装LNK文件执行AutoIt脚本下载载荷。报告详述攻击链并提供缓解措施，建议组织部署具备行为分析能力的EDR，监控可疑脚本执行及异常进程链。 综合评分： 88 文章分类： 威胁情报,恶意软件,应急响应

Konni利用谷歌广告进行鱼叉式网络钓鱼攻击以传播 EndRAT 恶意软件

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年1月20日 19:03 北京

Genians 安全中心发布了一份关于“海神行动”的深入分析报告。该行动是一项复杂的 APT 攻击活动，归咎于 Konni 威胁组织，该组织利用合法的广告基础设施来传播 EndRAT 恶意软件。

这次高级鱼叉式网络钓鱼行动表明，威胁行为者如何利用可信平台绕过传统的安全防御措施，同时以韩国金融机构和人权组织为目标。

攻击链始于包含伪装成合法广告流量的 URL 的恶意电子邮件。

攻击者不会直接将用户引导至恶意网站，而是利用 Google Ads 的 DoubleClick 基础架构 (ad.doubleclick[.]net) 和 Naver 的营销平台 (mkt.naver[.]com) 的重定向机制。

通过在 URL 参数中嵌入恶意 C2 地址，该活动掩盖了真实目的地，并绕过了电子邮件安全过滤。

该技术显著提高了绕过 URL 信誉系统和用户怀疑的可能性，因为初始重定向看起来像是来自受信任的广告平台。

成功诱骗受害者后，用户会被引导至被入侵的 WordPress 网站，这些网站充当恶意软件分发点和命令与控制基础设施。

这些安全措施薄弱的 WordPress 安装为威胁行为者提供了快速的基础设施更新能力，从而破坏了基于域名和 URL 的屏蔽策略。

恶意文件下载后，会以压缩存档的形式出现，其中包含一个恶意 Windows 快捷方式 (LNK) 文件，该文件伪装成合法的文档图标和文件名，冒充韩国金融机构或非政府组织。

除了简单的混淆之外，这被认为是一种复杂的规避技术，旨在故意混淆基于人工智能的网络钓鱼检测系统的逻辑。

执行 LNK 文件会触发一个复杂的多阶段有效载荷。该快捷方式会执行一个 AutoIt 脚本（一种合法的脚本语言），该脚本被伪装成 PDF 文档。

该脚本将 AutoIt3.exe 和基于 AutoIt 的恶意远程访问木马 (EndRAT) 直接下载到内存中，而无需额外的用户交互。

对 AutoIt 脚本源代码的分析揭示了关键元数据，包括内部构建路径：“D:\3_Attack Weapon\Autoit\Build__Poseidon – Attack\client3.3.14.a3x”。

该开发成果表明，威胁行为者内部将该活动命名为“波塞冬”，并将其作为一个独立的运营单位进行管理，这表明其基础设施成熟且开发实践持续。

多项技术关联证实了 Konni APT 与先前报道的攻击活动存在关联。

C2 基础设施（jlrandsons.co[.]uk）的重用、一致的 LNK 文件结构以及利用朝鲜人权主题的目标模式与已记录的 Konni 行动相一致。

缓解措施

该威胁组织偏好使用基于 AutoIt 的恶意软件执行，并使用合法服务域进行基础设施混淆，这代表了其行动手册中已确立的 TTP。

组织必须实施能够进行行为威胁分析的端点检测和响应 (EDR) 解决方案，而不是仅仅依赖于基于特征的检测。

EDR 系统应监控可疑的 AutoIt 脚本执行、内存恶意软件注入模式以及由快捷方式文件启动的异常进程链。

电子邮件安全控制必须包含高级内容分析，以检测填充规避技术，而 URL 沙箱应阻止可疑的广告重定向。

鉴于“海神行动”采用了复杂的多层次方法，防御策略需要以威胁行为者为中心的关联分析和持续的威胁搜寻能力，才能有效应对这些国家级行动。

入侵指标 (IoC)

| No. | Hash Value | | — | — | | 1 | f5842320e04c2c97d1f69cebfd47df3d | | 2 | 6a4c3256ff063f67d3251d6dd8229931 | | 3 | 8b8fa6c4298d83d78e11b52f22a79100 | | 4 | 303c5e4842613f7b9ee408e5c6721c00 | | 5 | 639b5489d2fb79bcb715905a046d4a54 | | 6 | 908d074f69c0bf203ed225557b7827ec | | 7 | 0171338d904381bbf3d1a909a48f4e92 | | 8 | 0777781dedd57f8016b7c627411bdf2c | | 9 | 94935397dce29684f384e57f85beeb0a | | 10 | a9a52e2f2afe28778a8537f955ee1310 | | 11 | a58ef1e53920a6e528dc31001f302c7b | | 12 | ad6273981cb53917cb8bda8e2f2e31a8 | | 13 | d4b06cb4ed834c295d0848b90a109f09 | | 14 | d6aa7e9ff0528425146e64d9472ffdbd |

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《Konni利用谷歌广告进行鱼叉式网络钓鱼攻击以传播 EndRAT 恶意软件》