据悉,朝鲜民族国家组织 Kimusky 在2022年与初针对韩国的一系列新的恶意活动有关。
卡巴斯基将集群代号为GoldDragon,感染链导致 windows 恶意软件的部署,这些恶意软件旨在文件列表、用户击键和存储的 Web 浏览器登录凭据。
潜在受害者包括韩国大学教授、智库研究人员和政府官员。
Kimsuky,也被称为 Black Banshee、Thallium 和 Velvet Chollima,是朝鲜多产的高级持续威胁 (APT) 组织的名称,该组织以全球实体为目标,但主要关注韩国,以获取有关各种政权情报。
该组织自 2012 年以来一直在运营,主要使用社会工程策略、鱼叉式网络钓鱼和水坑攻击来从受害者那里窃取所需信息的历史。
上个月末,网络安全公司 Volexity 归咎于一项情报收集任务,该任务旨在通过名为 Sharpext 的恶意 Chrome 浏览器扩展程序从 Gmail 和 AOL 中窃取电子邮件内容。
最新的活动遵循类似的作案手法,其中攻击序列是通过包含宏嵌入 Microsoft Word 文档的鱼叉式网络钓鱼消息发起的,据称这些文档包含与该地区政治问题相关的内容。
据说替代的初始访问路线也利用 HTML 应用程序 (HTA) 和编译的 HTML 帮助 (CHM) 文件作为诱饵来破坏系统。
无论使用哪种方法,初始访问之后都会从远程服务器中删除一个 Visual Basic 脚本,该脚本被编排为对机器进行指纹识别并检索其他有效负载,包括能够泄露敏感信息的可执行文件。
该攻击的新颖之处在于,如果收件人单击电子邮件中的链接以下载其他文档,则受害者的电子邮件地址会传输到命令和控制 (C2) 服务器。如果请求不包含预期的电子邮件地址,则返回良性文档。
为了使杀伤链更加复杂,第一阶段的 C2 服务器将受害者的 IP 地址转发到另一个 VBS 服务器,然后将其与目标打开诱饵文档后生成的传入请求进行比较。
两台 C2 服务器中的“受害者验证方法”确保仅在 IP 地址检查成功时才交付 VBScript,表明该方法具有高度针对性。
卡巴斯基研究员 Seongsu Park 说:“Kimsuky 组织不断改进其恶意软件感染方案,并采用新技术来阻碍分析,追踪这个群体的主要困难是很难获得完整的感染链。”
文由E安全
蜀ICP备2021014542号
川公网安备 51118102000215号