首页 安全快讯 正文

卡巴斯基发现了针对韩国政客和外交官的朝鲜黑客组织Kimusky

据悉,朝鲜民族国家组织 Kimusky 在2022年与初针对韩国的一系列新的恶意活动有关。 卡巴斯基将集群代号为GoldDragon,感染链导致 Windows 恶意软件的部署,这些恶意软件旨在文件列表、用户击键和存储的 Web 浏览器登录凭据。 潜在受害者包括韩国大学教授、智库研究人员和政府官员。 Kimsuky,也被称为 Black Banshee、Th

卡巴斯基发现了针对韩国政客和外交官的朝鲜黑客组织Kimusky 安全快讯 安全快讯  第1张

据悉,朝鲜民族国家组织 Kimusky 在2022年与初针对韩国的一系列新的恶意活动有关。

 

卡巴斯基将集群代号为GoldDragon,感染链导致 windows 恶意软件的部署,这些恶意软件旨在文件列表、用户击键和存储的 Web 浏览器登录凭据。

 

潜在受害者包括韩国大学教授、智库研究人员和政府官员。

 

Kimsuky,也被称为 Black Banshee、Thallium 和 Velvet Chollima,是朝鲜多产的高级持续威胁 (APT) 组织的名称,该组织以全球实体为目标,但主要关注韩国,以获取有关各种政权情报。

 

该组织自 2012 年以来一直在运营,主要使用社会工程策略、鱼叉式网络钓鱼和水坑攻击来从受害者那里窃取所需信息的历史。

 

上个月末,网络安全公司 Volexity 归咎于一项情报收集任务,该任务旨在通过名为 Sharpext 的恶意 Chrome 浏览器扩展程序从 Gmail 和 AOL 中窃取电子邮件内容。

 

最新的活动遵循类似的作案手法,其中攻击序列是通过包含宏嵌入 Microsoft Word 文档的鱼叉式网络钓鱼消息发起的,据称这些文档包含与该地区政治问题相关的内容。

 

卡巴斯基发现了针对韩国政客和外交官的朝鲜黑客组织Kimusky 安全快讯 安全快讯  第2张

据说替代的初始访问路线也利用 HTML 应用程序 (HTA) 和编译的 HTML 帮助 (CHM) 文件作为诱饵来破坏系统。

 

无论使用哪种方法,初始访问之后都会从远程服务器中删除一个 Visual Basic 脚本,该脚本被编排为对机器进行指纹识别并检索其他有效负载,包括能够泄露敏感信息的可执行文件。

 

该攻击的新颖之处在于,如果收件人单击电子邮件中的链接以下载其他文档,则受害者的电子邮件地址会传输到命令和控制 (C2) 服务器。如果请求不包含预期的电子邮件地址,则返回良性文档。

 

为了使杀伤链更加复杂,第一阶段的 C2 服务器将受害者的 IP 地址转发到另一个 VBS 服务器,然后将其与目标打开诱饵文档后生成的传入请求进行比较。

 

两台 C2 服务器中的“受害者验证方法”确保仅在 IP 地址检查成功时才交付 VBScript,表明该方法具有高度针对性。

 

卡巴斯基研究员 Seongsu Park 说:“Kimsuky 组织不断改进其恶意软件感染方案,并采用新技术来阻碍分析,追踪这个群体的主要困难是很难获得完整的感染链。”


文由E安全


海报

本文转载自互联网,如有侵权,联系删除

转载请注明本文地址:https://heibai.org.cn/338.html

相关推荐

发布评论

ainiaobaibaibaibaobaobeishangbishibizuichiguachijingchongjingdahaqiandaliandangaodw_dogedw_erhadw_miaodw_tuzidw_xiongmaodw_zhutouganbeigeiliguiguolaiguzhanghahahahashoushihaixiuhanheixianhenghorse2huaixiaohuatonghuaxinhufenjiayoujiyankeaikeliankouzhaokukuloukunkuxiaolandelinileimuliwulxhainiolxhlikelxhqiuguanzhulxhtouxiaolxhwahahalxhzanningwennonuokpinganqianqiaoqinqinquantouruoshayanshengbingshiwangshuaishuijiaosikaostar0star2star3taikaixintanshoutianpingtouxiaotuwabiweifengweiquweiwuweixiaowenhaowoshouwuxiangjixianhuaxiaoerbuyuxiaokuxiaoxinxinxinxinsuixixixuyeyinxianyinyueyouhenghengyuebingyueliangyunzanzhajizhongguozanzhoumazhuakuangzuohenghengzuoyi
感谢您的支持