朝鲜黑客组织 Kimsuky 内部数据遭泄露
- 浏览次数 710
- 喜欢 0
HackerNews 编译,转载请注明出处:
朝鲜国家支持的黑客组织Kimsuky据称遭遇数据泄露。两名自称“秉持与Kimsuky相反价值观”的黑客窃取该组织数据后公开泄露。这两名化名“Saber”和“cyb0rg”的黑客表示行动出于伦理考量,指责Kimsuky“为错误目的而入侵”,称其行为受政治议程驱使且遵循政权指令,而非独立实践黑客精神。
黑客在拉斯维加斯DEF CON 33大会发布的《Phrack》杂志(第72期)中声明:“Kimsuky,你们不是真正的黑客。你们被金钱贪婪驱使,只为充实领导阶层并实现其政治议程。你们窃取他人成果并偏袒自身,凌驾于他人之上:这是道德败坏。”黑客公开了Kimsuky部分后台数据,暴露其攻击工具及窃取信息,可能揭示未知攻击行动和未公开的入侵事件。
目前托管于“分布式拒绝保密”(DDoSecrets)网站的8.9GB泄露数据包含以下内容:
- 针对韩国国防反情报司令部(dcc.mil.kr)邮箱账户的钓鱼攻击日志
- 其他攻击目标域名:spo.go.kr、korea.kr、daum.net、kakao.com、naver.com
- 含韩国外交部电子邮件平台“Kebi”完整源代码的.7z压缩包(含webmail、admin及archive模块)
- 涉及韩国公民数字证书及大学教授精选名单的参考信息
- 用于构建钓鱼网站的PHP“生成器”工具包(含检测规避和重定向技巧)
- 活跃钓鱼攻击套件
- 未知二进制档案(voS9AyMZ.tar.gz、Black.x64.tar.gz)及可执行文件(payload.bin、payload_test.bin、s.x64.bin),相关文件在VirusTotal无风险标记
- VMware拖拽缓存区发现的Cobalt Strike加载器、反向Shell及Onnara代理模块
- Chrome历史记录及配置:链接至可疑GitHub账户(wwh1004.github.io等)、通过Google Pay购买的VPN服务(PureVPN、ZoogVPN)、频繁访问的黑客论坛(freebuf.com、xaker.ru)
- 使用谷歌翻译处理中文错误信息及访问台湾政府军事网站记录
- 含内部系统SSH连接的Bash历史记录
黑客指出部分数据此前已被披露或部分记录,但此次泄露以全新维度呈现数据,并揭示Kimsuky工具与活动间的内在关联,有效“曝光并摧毁”该APT组织的基础设施与方法。此次泄露虽可能不会对Kimsuky运作产生长期影响,但或导致其面临操作困难及现有攻击活动中断。《Phrack》第72期目前仅提供限量实体版,网络版将于数日内通过官网免费开放。
消息来源:bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文