HackerNews

HackerNews
朝鲜黑客利用首尔情报文件对韩国民众发动攻击

朝鲜黑客利用首尔情报文件对韩国民众发动攻击

作者: hackernews 日期: 2025-09-01 分类: 国际动态, 网络钓鱼
给文章评分:

HackerNews 编译,转载请注明出处:

一场针对韩国政府及情报工作人员的大规模鱼叉式网络钓鱼活动,利用了一份国家情报通讯刊物来诱骗受害者。

网络安全公司Seqrite在8月29日发布的新报告中披露,APT37——一个被认为有朝鲜背景的国家级黑客组织——是此次大规模鱼叉式网络钓鱼活动的幕后黑手。

这项被称为“韩国幻影行动”(Operation HanKook Phantom)的行动包含两波活动,期间APT37武器化了一些能引起韩国政府官员和情报人员兴趣的文档。

以首尔情报为诱饵的鱼叉式钓鱼

第一波活动利用名为“国家情报研究学会通讯-第52期”(韩语:국가정보연구회 소식지 (52호))的文档作为诱饵。

《国家情报研究学会通讯》是由韩国研究团体“国家情报研究协会”发布的月度或定期内部通讯刊物。它为会员提供最新及即将举办的研讨会、研究计划和组织发展的概述,并重点介绍有关国家安全、劳动力动态、当前地缘政治变化、技术进步(如人工智能)和韩朝关系的 ongoing 讨论。

根据Seqrite研究人员的说法,攻击者分发这份看起来合法的PDF文件的同时,还附带了一个恶意的LNK(Windows快捷方式)文件,该文件被命名为“国家情报研究学会通讯(52期).pdf.LNK”。

一旦LNK文件被执行,便会触发载荷下载或命令执行,使得攻击者能够入侵系统。其入侵链包含多种混淆恶意载荷和逃避检测的方法,包括内存执行、伪装诱饵和隐藏的数据渗出例程。

通过分析攻击链,Seqrite研究人员发现其最终载荷是RokRAT,这是一个通常作为编码后的二进制文件分发的后门程序,在利用武器化文档后由shellcode下载并解密。APT37在过去的攻击活动中也被观察到分发RokRAT。

此鱼叉式钓鱼活动的主要目标包括该通讯刊物的接收者,他们通常是以下一个或多个韩国机构的成员:

  1. 国家情报研究协会
  2. 光云大学
  3. 高丽大学
  4. 国家安全战略研究院
  5. 中央劳动经济研究所
  6. 能源安全与环境协会
  7. 救国精神振兴会
  8. 养志会(纪念会议主办方)
  9. 韩国整合战略


以朝鲜官方通讯为诱饵的鱼叉式钓鱼

第二波活动使用了朝鲜劳动党中央委员会副部长、朝鲜最高领导人金正恩的妹妹金与正于7月28日发表的声明作为诱饵。

Seqrite报告指出,根据平壤的朝鲜中央通讯社(KCNA)报道,该声明表明了朝鲜拒绝韩国任何和解努力的立场。研究人员称:“它强烈批评韩国改善朝韩关系的尝试,称其毫无意义或虚伪。”文件还提到,朝鲜断然拒绝未来与韩国的任何对话或合作,宣布结束和解努力,并将在未来采取敌对、基于对抗的立场。

此攻击链与第一波活动相似,从一个恶意的LNK文件开始,该文件在部署混淆组件(tony33.bat, tony32.dat, tony31.dat)到%TEMP%目录的同时,会释放一个诱饵文档。LNK文件会自行删除,随后批处理脚本触发无文件攻击:tony32.dat在内存中解码,用XOR解密(密钥0x37)tony31.dat,并通过API调用(VirtualAlloc+CreateThread)将其注入。

投放器通过伪造的HTTP请求从命令与控制(C2)服务器获取次要载荷(abs.tmp),通过PowerShell(-EncodedCommand)执行它并删除痕迹。同时,它通过在删除前通过伪装的POST请求(模仿PDF上传)来渗出%TEMP%文件,并使用合法系统工具(LOLBins)、内存执行和流量混合来逃避检测。

第二波活动的目标包括:

  1. 李在明政府(韩国政府内阁)
  2. 统一部
  3. 美韩军事同盟
  4. 亚太经合组织(APEC)


APT37使用高度定制的鱼叉式钓鱼攻击

Seqrite将这两波结合的活动命名为“韩国幻影行动”(Operation HanKook Phantom),“HanKook”是一个通常用于指代韩国的韩语词,而“Phantom”(幻影)则代表了在整个感染链中使用的隐蔽且规避的技术。

APT37是一个网络间谍组织,拥有许多别名,包括InkySquid、ScarCruft、Reaper、Group123、RedEyes和Ricochet Chollima。该组织至少自2012年以来一直活跃,并被认为与朝鲜政权有关联。其主要焦点是韩国的公共和私营部门,近期的鱼叉式钓鱼活动涉及利用有关朝鲜士兵在乌克兰战争中帮助俄罗斯的文档作为诱饵。

2017年,APT37将其目标范围扩展到朝鲜半岛以外,包括日本、越南和中东,并瞄准了更广泛的行业领域,包括化工、电子、制造、航空航天、汽车和医疗保健组织。

Seqrite研究人员总结道:“对此次行动的分析凸显了APT37如何持续采用高度定制的鱼叉式钓鱼攻击,利用恶意的LNK加载器、无文件的PowerShell执行和隐蔽的渗出机制。”

 

 

 

消息来源:infosecurity-magazine

本文由 HackerNews.cc 翻译整理,封面来源于网络;

转载请注明“转自 HackerNews.cc”并附上原文