可用

卡巴斯基发现了针对韩国政客和外交官的朝鲜黑客组织 Kimusky

  • 浏览次数 7465
  • 喜欢 0
  • 评分 12345

640

据悉,朝鲜民族国家组织 Kimusky 在2022年与初针对韩国的一系列新的恶意活动有关。

卡巴斯基将集群代号为GoldDragon,感染链导致 Windows 恶意软件的部署,这些恶意软件旨在文件列表、用户击键和存储的 Web 浏览器登录凭据。

潜在受害者包括韩国大学教授、智库研究人员和政府官员。

Kimsuky,也被称为 Black Banshee、Thallium 和 Velvet Chollima,是朝鲜多产的高级持续威胁 (APT) 组织的名称,该组织以全球实体为目标,但主要关注韩国,以获取有关各种政权情报。

该组织自 2012 年以来一直在运营,主要使用社会工程策略、鱼叉式网络钓鱼和水坑攻击来从受害者那里窃取所需信息的历史。

上个月末,网络安全公司 Volexity 归咎于一项情报收集任务,该任务旨在通过名为 Sharpext 的恶意 Chrome 浏览器扩展程序从 Gmail 和 AOL 中窃取电子邮件内容。

最新的活动遵循类似的作案手法,其中攻击序列是通过包含宏嵌入 Microsoft Word 文档的鱼叉式网络钓鱼消息发起的,据称这些文档包含与该地区政治问题相关的内容。

640 (1)

据说替代的初始访问路线也利用 HTML 应用程序 (HTA) 和编译的 HTML 帮助 (CHM) 文件作为诱饵来破坏系统。

无论使用哪种方法,初始访问之后都会从远程服务器中删除一个 Visual Basic 脚本,该脚本被编排为对机器进行指纹识别并检索其他有效负载,包括能够泄露敏感信息的可执行文件。

该攻击的新颖之处在于,如果收件人单击电子邮件中的链接以下载其他文档,则受害者的电子邮件地址会传输到命令和控制 (C2) 服务器。如果请求不包含预期的电子邮件地址,则返回良性文档。

为了使杀伤链更加复杂,第一阶段的 C2 服务器将受害者的 IP 地址转发到另一个 VBS 服务器,然后将其与目标打开诱饵文档后生成的传入请求进行比较。

两台 C2 服务器中的“受害者验证方法”确保仅在 IP 地址检查成功时才交付 VBScript,表明该方法具有高度针对性。

卡巴斯基研究员 Seongsu Park 说:“Kimsuky 组织不断改进其恶意软件感染方案,并采用新技术来阻碍分析,追踪这个群体的主要困难是很难获得完整的感染链。”


转自 E安全,原文链接:https://mp.weixin.qq.com/s/Ulc-heW6R_r8395RKfov4Q

封面来源于网络,如有侵权请联系删除