大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号现在只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。
据信息安全工具供应商 Rapid7 称,朝鲜臭名昭著的 Kimsuky 网络犯罪团伙已开始采用新策略开展活动。
周三的一篇帖子解释说,该组织(也称为 Black Banshee、Thallium、APT 43 和 Velvet Chollima)长期以来一直试图从政府机构和智库等组织窃取信息,可能是为了收集金正恩政权可能认为有价值的情报。
Kimsuky 最喜欢的策略是鱼叉式网络钓鱼,有时是经过伪装成学者或媒体的记者的长时间社会工程努力。过去的攻击中,受害者会收到一份充满恶意软件的调查问卷。
Rapid7 不确定该团伙如何分发其最新攻击,但确信负载包括有毒的 Microsoft 编译 HTML 帮助 (CHM) 文件以及 ISO、VHD、ZIP 和 RAR 文件。
CHM 文件可以包含文本、图像和超链接。Kimsuky 可能对它们更感兴趣,因为它们可以执行 JavaScript。
Rapid7 的研究人员破解了他们认为是 Kimsuky 作品的其中一个 CHM 文件,并发现了“使用 HTML 和 ActiveX 在 Windows 机器上执行任意命令的示例,通常用于恶意目的”。
该案的恶意目的是安装 VBScript 并修改 Windows 注册表,以确保该团伙的脚本在系统启动时运行。
该脚本收集有关受害者机器、正在运行的进程以及最近的 Word 文件的信息,然后列出目录及其内容。
Rapid7 的帖子详细介绍了另外几种用于安装信息窃取程序的技术——再次使用 CHM 文件。
-
首尔指责朝鲜窃取韩国芯片制造商的设计
-
思科 Talos 警告称,凭据窃取木马会窃取 Chromium 浏览器、Outlook 等的登录信息
-
朝鲜运营充满恶意软件的赌博网站
-
OpenAI 关闭中国、俄罗斯、伊朗、朝鲜的不良账户
该公司在此处提供了详细的妥协指标。
Rapid7 首席科学家 Raj Samani 告诉The Register,他的团队有一定信心,这种技术是 Kimsuky 的作品,并且该活动的目标是韩国——有效载荷中发现的许多韩语文件名都支持这一说法。
然而,萨马尼认为,Kimsuky 可能已经蔓延到其通常的亚洲狩猎场之外。他指出,德国联邦信息安全局(该国的联邦信息安全机构)将Kimsuky列为在德国境内活跃的组织。
《The Register》向萨马尼表示,中毒的 CHM 文件并不是什么新鲜事,他承认了这一点,但他反驳道,这可能是一些组织防御的盲点。
他警告说:“我们面对的是具有创新精神且懂得防御的个人。”
Samani 不确定 Kimsuky 的最新活动是否有特定的目标,但表示 Rapid7 将在四月左右提供更详细的评估。
欢迎喜欢文章的朋友点赞、转发、赞赏,你的每一次鼓励,都是我继续前进的动力。
原文始发于微信公众号(紫队安全研究):朝鲜APT Kimsuky团伙正在利用Windows CHM文件钓鱼
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论