朝鲜 Kimsuky APT组织在持续的网络攻击中使用 HTML 帮助文件（CHM）载体

据观察，与朝鲜有关的APT组织Kimsuky（又名 Black Banshee、Emerald Sleet 或 Springtail）改变了策略，利用编译的 HTML 帮助 (CHM) 文件作为载体来传播恶意软件以收集敏感数据。

Kimsuky 至少自 2012 年以来一直活跃，其目标是位于韩国以及北美、亚洲和欧洲的实体。

据 Rapid7 称，攻击链利用了武器化的 Microsoft Office 文档、ISO 文件和 Windows 快捷方式 (LNK) 文件，该组织还利用 CHM 文件在受感染的主机上部署恶意软件。

该网络安全公司以过去观察到的类似间谍活动为由，以适度的信心将这一活动归咎于 Kimsuky。

该公司表示：“虽然 CHM 文件最初是为帮助文档而设计的，但它也被用于恶意目的，例如分发恶意软件，因为它们在打开时可以执行 JavaScript。”

CHM 文件在 ISO、VHD、ZIP 或 RAR 文件中传播，打开后执行 Visual Basic 脚本 (VBScript) 以设置持久性并连接到远程服务器释放下一阶段有效负载，以获取敏感数据。

Rapid7 称这些攻击持续且不断演变，针对的是韩国的组织。它还确定了一种替代感染序列，该序列采用 CHM 文件作为起点，删除负责收集信息的批处理文件和连接到 C2 服务器并传输数据的 PowerShell 脚本。

报告称：“作案手法以及代码和工具的重用表明，攻击者正在积极使用和完善/重塑其技术和策略，以从受害者那里收集情报。”

博通旗下的赛门铁克透露，Kimsuky 攻击者正在传播冒充韩国合法公共实体应用程序的恶意软件。

赛门铁克表示：“一旦受到威胁，植入程序就会安装 Endor 后门恶意软件。” “这种威胁使攻击者能够从受害者那里收集敏感信息或安装其他恶意软件。”

值得注意的是，基于 Golang 的 Endor 与 Troll Stealer（又名 TrollAgent）最近被部署用于针对从韩国建筑相关协会网站下载程序的用户。

联合国对朝鲜在 2017 年至 2023 年间实施的 58 起疑似网络攻击进行了调查，这些攻击为朝鲜带来 30 亿美元的非法收入。

报告称：“据报道，侦察总局下属的黑客组织仍在继续发动大量网络攻击。”“趋势包括针对国防公司和供应链，以及越来越多地共享基础设施和工具。”

侦察总局 (RGB) 是朝鲜主要的对外情报机构，由被广泛追踪的Lazarus集团及其下属组织Andariel 、 BlueNoroff以及Kimsuky组成的APT集群组成。

报告进一步补充说：“Kimsuky 对使用生成人工智能（包括大型语言模型）表现出了兴趣，可能用于编码或编写网络钓鱼电子邮件。” “据观察 Kimsuky 使用 ChatGPT。”

参考链接：https://www.securityweek.com/russian-apt29-hackers-caught-targeting-german-political-parties/