HackerNews 编译，转载请注明出处： FBI于周四发布安全通告，警告朝鲜国家支持的黑客正利用恶意QR码，针对美国境内的实体机构发起鱼叉式网络钓鱼攻击。 FBI在紧急通告中指出：“截至2025年，Kimsuky黑客组织已通过在鱼叉式钓鱼攻击中嵌入恶意二维码，针对智库、学术机构以及美国和外国政府实体发起攻击。此类攻击被称为‘QR码钓鱼攻击’。” 利用QR码进行钓鱼是一种迫使受害者从受企业安全策略保护的设备转移到可能缺乏同等防护水平的移动设备上的策略，这使得攻击者能够有效绕过传统防御。 背景与手法 Kimsuky（亦被追踪为APT43、Black Banshee、Emerald Sleet、Springtail、TA427、Velvet Chollima）是被评估隶属于朝鲜侦察总局的黑客组织。该组织长期以来一直精心策划专门旨在规避电子邮件身份验证协议的鱼叉式钓鱼攻击。 2024年5月，美国政府曾点名该黑客组织利用配置不当的基于域的消息认证、报告和一致性记录策略，发送看似来自合法域名的电子邮件。 具体攻击案例 FBI称，其在2025年5月和6月多次观察到Kimsuky组织在定向钓鱼攻击中使用恶意QR码，具体包括： 冒充外国顾问，向某智库负责人发送电子邮件，请求对方就朝鲜半岛近期动态提供见解，并要求扫描QR码以访问问卷。 冒充大使馆员工，向某智库高级研究员发送电子邮件，请求就朝鲜人权问题提供意见，并附上声称可访问安全云盘的QR码。 冒充智库员工，在电子邮件中附上QR码，意图将受害者引导至其控制的基础设施以进行后续攻击活动。 向一家战略咨询公司发送电子邮件，邀请其参加一个虚构的会议，并敦促收件人扫描QR码，将其重定向到一个旨在通过虚假登录页面窃取其谷歌账户凭据的注册登录页面。 攻击影响与特点 就在此披露不到一个月前，ENKI曾揭示Kimsuky在一次模仿首尔某物流公司的钓鱼邮件活动中使用QR码分发名为DocSwap的新型安卓恶意软件变种。 FBI指出：“QR码钓鱼攻击通常以窃取和重放会话令牌告终，这使得攻击者能够绕过多因素认证，并在不触发典型‘MFA失败’警报的情况下劫持云身份。随后，攻击者会在组织内建立持久存在，并从被入侵的邮箱发起二次鱼叉式钓鱼攻击。” “由于入侵路径始于常规端点检测与响应及网络监控边界之外的、不受管理的移动设备，QR码钓鱼攻击目前被视为企业环境中一种高成功率、能抵抗MFA的身份入侵途径。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 朝鲜国家支持的黑客组织Kimsuky据称遭遇数据泄露。两名自称“秉持与Kimsuky相反价值观”的黑客窃取该组织数据后公开泄露。这两名化名“Saber”和“cyb0rg”的黑客表示行动出于伦理考量，指责Kimsuky“为错误目的而入侵”，称其行为受政治议程驱使且遵循政权指令，而非独立实践黑客精神。 黑客在拉斯维加斯DEF CON 33大会发布的《Phrack》杂志（第72期）中声明：“Kimsuky，你们不是真正的黑客。你们被金钱贪婪驱使，只为充实领导阶层并实现其政治议程。你们窃取他人成果并偏袒自身，凌驾于他人之上：这是道德败坏。”黑客公开了Kimsuky部分后台数据，暴露其攻击工具及窃取信息，可能揭示未知攻击行动和未公开的入侵事件。 目前托管于“分布式拒绝保密”（DDoSecrets）网站的8.9GB泄露数据包含以下内容： 针对韩国国防反情报司令部（dcc.mil.kr）邮箱账户的钓鱼攻击日志 其他攻击目标域名：spo.go.kr、korea.kr、daum.net、kakao.com、naver.com 含韩国外交部电子邮件平台“Kebi”完整源代码的.7z压缩包（含webmail、admin及archive模块） 涉及韩国公民数字证书及大学教授精选名单的参考信息 用于构建钓鱼网站的PHP“生成器”工具包（含检测规避和重定向技巧） 活跃钓鱼攻击套件 未知二进制档案（voS9AyMZ.tar.gz、Black.x64.tar.gz）及可执行文件（payload.bin、payload_test.bin、s.x64.bin），相关文件在VirusTotal无风险标记 VMware拖拽缓存区发现的Cobalt Strike加载器、反向Shell及Onnara代理模块 Chrome历史记录及配置：链接至可疑GitHub账户（wwh1004.github.io等）、通过Google Pay购买的VPN服务（PureVPN、ZoogVPN）、频繁访问的黑客论坛（freebuf.com、xaker.ru） 使用谷歌翻译处理中文错误信息及访问台湾政府军事网站记录 含内部系统SSH连接的Bash历史记录 黑客指出部分数据此前已被披露或部分记录，但此次泄露以全新维度呈现数据，并揭示Kimsuky工具与活动间的内在关联，有效“曝光并摧毁”该APT组织的基础设施与方法。此次泄露虽可能不会对Kimsuky运作产生长期影响，但或导致其面临操作困难及现有攻击活动中断。《Phrack》第72期目前仅提供限量实体版，网络版将于数日内通过官网免费开放。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据韩国网络安全公司AhnLab Security Intelligence Center（ASEC）2月6日消息，与朝鲜有关的国家级黑客组织Kimsuky被发现利用名为forceCopy的信息窃取恶意软件进行鱼叉式网络钓鱼攻击。 攻击活动始于2024年3月，攻击者通过伪装成Microsoft Office或PDF文档的Windows快捷方式（LNK）文件的钓鱼邮件开始攻击。打开附件会触发PowerShell或mshta.exe的执行，这些是微软合法的二进制文件，用于下载和运行来自外部源的下一阶段有效载荷。 此次攻击最终部署了已知的木马PEBBLEDASH和开源远程桌面工具RDP Wrapper的自定义版本。攻击者还使用了代理恶意软件，通过RDP建立与外部网络的持久通信。此外，Kimsuky还被发现使用基于PowerShell的键盘记录器记录按键，并使用新的forceCopy窃取恶意软件复制存储在Web浏览器相关目录中的文件。 “所有恶意软件安装的路径都是Web浏览器的安装路径，”ASEC表示。“据推测，威胁行为者试图绕过特定环境中的限制，窃取存储凭据的Web浏览器配置文件。” 使用RDP Wrapper和代理工具来控制受感染主机，表明Kimsuky的战术发生了变化，该组织历史上一直使用定制的后门程序。 Kimsuky，也被称为APT43、Black Banshee、Emerald Sleet、Sparkling Pisces、Springtail、TA427和Velvet Chollima，被认为与朝鲜主要对外情报机构侦察总局（Reconnaissance General Bureau）有关。 自2012年以来，Kimsuky一直活跃，擅长组织定制的社会工程攻击，能够绕过电子邮件安全防护。2024年12月，网络安全公司Genians透露，该黑客组织一直在发送来自俄罗斯服务的钓鱼信息，以进行凭证窃取。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近日，韩国宣布对朝鲜黑客集团 Kimsuky 实施新制裁。首尔还与华盛顿一起发布了针对该组织的社会工程学努力的联合网络警报警告。 首尔外交部在一份新闻稿中说：“韩国政府在世界上首次将‘Kimsuky’指定为对朝鲜实施独立制裁的对象。” 该部表示，制裁旨在遏制该组织针对韩国的活动。它还列出了 Kimsuky 使用的两个加密钱包地址，这些地址现在根据当地法律是禁止访问的。 新闻稿称，韩国是对朝鲜周三将一颗军事侦察卫星送入轨道的失败尝试作出直接回应。 据该部称，包括 Kimsuky 在内的朝鲜黑客组织“通过窃取世界各地与武器开发、人造卫星和太空相关的尖端技术，直接或间接参与了朝鲜所谓卫星的开发”。 Kimsuky 专门通过开展大规模社会工程活动窃取敏感信息，这是由美国国务院、联邦调查局、国家安全局和韩国外交部、国家警察厅以及国家情报局说。 黑客团体的鱼叉式网络钓鱼活动令人信服地冒充真人，目标是智库、学术机构和专门报道朝鲜半岛局势的新闻媒体的专业人士。 该顾问承认，Kimsuky 擅长社会工程学。“十多年来，Kimsuky 攻击者不断改进他们的社会工程技术，并使他们的鱼叉式网络钓鱼努力越来越难以辨别，”它说。 据称，这些网络参与者通过广泛的研究和准备开始他们的活动，并经常使用开源信息来识别潜在的价值目标。然后，他们调整自己的在线角色，使其看起来更真实，并更彻底地说服受害者。 该咨询称，Kimsuky 演员也非常了解目标的兴趣，并更新他们的介绍性电子邮件的内容，以反映朝鲜观察者社区讨论的时事。 来自 Kimsuky 的电子邮件通信示例。图片由 Cybernews 提供 这些电子邮件通常附带恶意文件或链接，在通报中称为“诱饵文件”。它们以报告或新闻文章的形式呈现，但实际上包含恶意软件——如果收件人打开它们，Kimsuky 就可以控制受感染的系统并保持对它的访问。 建议潜在目标注意危险信号，例如笨拙的句子和语法错误、朝鲜短语的使用或真假电子邮件域之间的细微差别。 此外，专家建议采取可能的缓解措施，例如设置强密码、多因素身份验证或使用防病毒软件。一般来说，在确认任何请求时谨慎行事是明智的。 3 月，德国和韩国政府当局就 Kimsuky 发动的网络攻击发出警告，这些攻击需要使用流氓浏览器扩展来窃取用户的 Gmail 收件箱。 2022 年，网络安全公司 Zscaler 的数据显示，一个被认为是朝鲜组织 Lazarus 的威胁行为者一直在以首尔为目标发起复杂的鱼叉式网络钓鱼活动。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/t9oyCIpGQRub0f-PMnNgqw 封面来源于网络，如有侵权请联系删除

据观察，被称为 Kimsuky 的朝鲜间谍活动参与者使用三种不同的 Android 恶意软件来针对韩国某些用户。这是根据韩国网络安全公司 S2W 的调查结果，该公司将恶意软件家族命名为 FastFire、FastViewer 和 FastSpy。 研究人员 Lee Sebin 和 Shin Yeongjae指出，FastFire 恶意软件伪装成谷歌安全插件，FastViewer恶意软件伪装成‘Hancom Office Viewer’，而FastSpy是基于AndroSpy的远程访问工具。Kimsuky，也被称为 Black Banshee、Thallium 和 Velvet Chollima。据悉被朝鲜以一项全球情报收集任务，不成比例地针对韩国、日本和美国的个人和组织。 去年8月，卡巴斯基发现了一个名为GoldDragon的未曾记录的感染链，以部署一个 Windows 后门，该后门能够从受害者那里窃取信息，例如文件列表、用户击键和存储的 Web 浏览器登录凭据。 Android 版本的AppleSeed植入程序也知道这种高级持续性威胁可以执行任意操作并从受感染的设备中泄露信息。 FastFire、FastViewer 和 FastSpy 是其不断发展的 Android 恶意软件库的最新成员，旨在接收来自 Firebase 的命令并下载其他有效负载。 “FastViewer 是一个重新打包的 APK，通过将攻击者插入的任意恶意代码添加到普通的 Hancom Office Viewer 应用程序中，”研究人员说，并补充说恶意软件还会下载 FastSpy 作为下一阶段。 有问题的流氓应用程序如下 ： com.viewer.fastsecure（Google 보안 插件） com.tf.thinkdroid.secviewer (FastViewer) FastViewer 和 FastSpy 都滥用 Android 的可访问性 API 权限来实现其间谍行为，后者自动用户点击以类似于MaliBot的方式授予自己广泛的权限。 FastSpy 启动后，使攻击者能够控制目标设备、拦截电话和短信、跟踪用户的位置、获取文档、捕获击键并记录来自手机摄像头、麦克风和扬声器的信息。 2022 年 5 月曾被用于一次活动中，该活动被确定为由该组织精心策划，以分发伪装成朝鲜相关新闻的恶意软件发布。 研究人员表示：“Kimsuky 集团不断进行攻击，以窃取目标针对移动设备的信息。此外，正在通过定制开源 RAT 的 Androspy 进行各种尝试来绕过检测。” 由于 Kimsuky 集团的移动攻击策略越来越先进，因此有必要小心针对 Android 设备的复杂攻击。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/Inucu2jqhqUMSonwqC9n0A 封面来源于网络，如有侵权请联系删除