据观察,朝鲜黑客Kimsuky部署了一种全新的Golang恶意软件“Durian”,针对两家韩国加密货币公司进行高度定向网络攻击。
“Durian具有全面的后门功能,可以执行传送的命令、下载额外文件并泄露文件。”Kaspersky在2024年第一季度APT趋势报告中指出。
2023年8月和11月的网络攻击使用韩国独有的合法软件作为感染途径,操纵该程序的确切机制尚且未知。
已知的是,该软件与攻击者服务器相连,从而导致恶意有效载荷检索并启动感染序列。
第一阶段充当了额外恶意软件的安装程序,同时也是一种在主机上建立持久性的手段。它还为最终执行Durian的加载程序铺平了道路。
Durian被用于引入更多的恶意软件。包括AppleSeed、Kimsuky的主要后门选择,一个自定义代理工具LazyLoad,还有其他如ngrok和Chrome远程桌面的合法工具。
“攻击者最终通过植入恶意软件窃取了浏览器中存储的数据,包括Cookie和登录凭据。”Kaspersky表示。
此次攻击的一个显著特点是使用了LazyLoad,这个工具之前已经被Lazarus组织的一个子集Andariel使用过,这也引发了两个黑客间存在潜在合作或战术重叠的可能性。
Kimsuky团队自2012年以来一直非常活跃,其恶意网络活动涉及APT43、Black Banshee、Emerald Sleet(前身为Thallium)、Springtail、TA427和Velvet Chollima。
据评估,Kimsuky团队是63号研究中心的下属部门,该中心隶属于朝鲜的总参谋部,是该国家的主要军事情报组织。
美国联邦调查局(FBI)和国家安全局(NSA)本月早些时候在一份警报中表示,Kimsuky行动人员的主要任务是通过渗透政策分析人员和其他专家来窃取数据和有价值的地缘政治洞察,然后将其提供给朝鲜政权。
“成功的渗透让Kimsuky行动人员能进一步制作更有信服力、更有效的鱼叉式网络钓鱼邮件,并且能够利用更敏感、价值更高的目标。”
Broadcom旗下的Symantec表示,该国家级黑客还与传递基于C#的远程访问木马和TutorialRAT信息窃取程序的攻击活动有关,该木马利用Dropbox作为“躲避威胁监控的基地。
“此次活动似乎是APT43的BabyShark威胁活动的延伸,采用了典型的鱼叉式网络钓鱼技术,如使用快捷方式(LNK)文件,”报告补充道。
安全智能中心(ASEC)详细描述了另一个朝鲜国家赞助的黑客组织ScarCruft策划的活动,该活动以部署RokRAT为目标,针对韩国用户使用Windows快捷方式(LNK)文件。
这个对抗性集体,也被称为APT37、InkySquid、RedEyes、Ricochet Chollima和Ruby Sleet,据说与朝鲜的国家安全部(MSS)对齐,负责秘密情报收集并支持该国的战略军事、政治和经济利益。
“最近我们确认了快捷方式文件(* .LNK)针对的是韩国用户,特别是那些与朝鲜相关的用户,”ASEC说。
消息来源:thehackernews,译者:lune;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
暂无评论内容