朝鲜相关组织对韩国进行多级网络攻击

与朝鲜有关联的威胁组织Kimsuky采用了一种更长的八阶段攻击链，该攻击链滥用合法的云服务，并使用规避恶意软件对韩国实体进行网络间谍活动和金融犯罪。

Securonix的研究人员在今天的威胁分析中写道，在一场被称为“DEEP#GOSU”的活动中，网络间谍运营者非常专注于一种“以土地为生”的策略，使用命令安装各种。net程序集(用于。net应用程序的合法代码组件)来创建攻击者工具包的基础。

Kimsuky还利用电子邮件附带的LNK文件、从Dropbox下载的命令脚本，以及用PowerShell和VBScript编写的代码来进行攻击。

虽然典型的网络攻击使用五个或更少的阶段，但DEEP#GOSU活动使用了八个阶段。Securonix威胁研究副总裁奥列格·科列斯尼科夫(Oleg Kolesnikov)表示，尽管有些工具可以被反病毒扫描程序和其他防御技术检测到，但攻击者的积极目标是阻止检测。

“有许多不同的组件和有效载荷，不同的有效载荷组件具有不同的扫描仪检测率，”他说。“由于攻击者积极使用规避和破坏安全工具的技术，包括关闭安全工具和增加排除的有效载荷等，因此检测到这一点的扫描仪的数量在这种情况下可能不太相关。”

Kimsuky组织——也被称为APT43、Emerald Sleet和Velvet Chollima——在2023年加大了活动力度，除了传统的网络间谍活动外，还将更多的注意力转移到加密货币上。根据Securonix的三位研究人员的分析，Kimsuky以其熟练的鱼叉式网络钓鱼而闻名，并不一定是因为其技术复杂，但最近的攻击表明该组织已经有所发展。

“恶意软件的有效载荷……代表了一种复杂的、多阶段的威胁，旨在在Windows系统上秘密运行，特别是从网络监控的角度来看，”三位研究人员在他们的分析中表示。“每个阶段都使用AES、通用密码和IV(初始化向量)进行加密，这将最大限度地减少网络或平面文件扫描的检测。”

使用Dropbox和Google逃避安全控制

当用户打开电子邮件附带的LNK文件时，攻击的第一阶段就会执行，该文件会从Dropbox下载PowerShell代码。在第二阶段执行的代码从Dropbox下载额外的脚本，并提示受感染的系统在第三阶段安装远程访问木马TutClient。

Securonix的威胁研究人员在分析中表示，大量使用Dropbox和谷歌，有助于避免被检测到。

他们写道:“所有C2通信都是通过Dropbox或Google Docs等合法服务处理的，这使得恶意软件可以在未被发现的情况下混入常规网络流量中。”“由于这些有效载荷来自像Dropbox这样的远程资源，它允许恶意软件维护者动态更新其功能或部署额外的模块，而无需与系统直接交互。”

攻击的后期阶段安装一个脚本，该脚本在几小时内随机执行，以帮助监视和控制系统并提供持久性。最后一个阶段通过记录受损系统上的击键来监视用户活动。

多阶段攻击凸显深度防御

虽然对于基于主机的安全来说，攻击的初始阶段的检测率从5%到45%不等，但网络安全平台可能很难检测到攻击的后期阶段，因为Kimsuky威胁参与者使用加密流量、合法的云文件传输服务和下载的。net组件。

科列斯尼科夫说，多管齐下的攻击凸显了拥有多层防御的好处。

科列斯尼科夫说:“根据我们的经验，在这种情况下，最新的杀毒软件可能还不够，因为表现出来的行为包括破坏和逃避安全工具。”“我们的建议是组织利用纵深防御，而不是仅仅依赖于任何特定的安全工具。”

他说，举例来说，电子邮件安全网关可能会屏蔽LNK文件，因为LNK文件的大小高达2.2MB，而通常的文件大小以千字节为单位。

原文始发于微信公众号（HackSee）：朝鲜相关组织对韩国进行多级网络攻击