卡巴斯基发现了针对韩国政客和外交官的朝鲜黑客组织Kimusky

据悉，朝鲜民族国家组织 Kimusky 在2022年与初针对韩国的一系列新的恶意活动有关。

卡巴斯基将集群代号为GoldDragon，感染链导致 Windows 恶意软件的部署，这些恶意软件旨在文件列表、用户击键和存储的 Web 浏览器登录凭据。

潜在受害者包括韩国大学教授、智库研究人员和政府官员。

Kimsuky，也被称为 Black Banshee、Thallium 和 Velvet Chollima，是朝鲜多产的高级持续威胁 (APT) 组织的名称，该组织以全球实体为目标，但主要关注韩国，以获取有关各种政权情报。

该组织自 2012 年以来一直在运营，主要使用社会工程策略、鱼叉式网络钓鱼和水坑攻击来从受害者那里窃取所需信息的历史。

上个月末，网络安全公司 Volexity 归咎于一项情报收集任务，该任务旨在通过名为 Sharpext 的恶意 Chrome 浏览器扩展程序从 Gmail 和 AOL 中窃取电子邮件内容。

最新的活动遵循类似的作案手法，其中攻击序列是通过包含宏嵌入 Microsoft Word 文档的鱼叉式网络钓鱼消息发起的，据称这些文档包含与该地区政治问题相关的内容。

据说替代的初始访问路线也利用 HTML 应用程序 (HTA) 和编译的 HTML 帮助 (CHM) 文件作为诱饵来破坏系统。

无论使用哪种方法，初始访问之后都会从远程服务器中删除一个 Visual Basic 脚本，该脚本被编排为对机器进行指纹识别并检索其他有效负载，包括能够泄露敏感信息的可执行文件。

该攻击的新颖之处在于，如果收件人单击电子邮件中的链接以下载其他文档，则受害者的电子邮件地址会传输到命令和控制 (C2) 服务器。如果请求不包含预期的电子邮件地址，则返回良性文档。

为了使杀伤链更加复杂，第一阶段的 C2 服务器将受害者的 IP 地址转发到另一个 VBS 服务器，然后将其与目标打开诱饵文档后生成的传入请求进行比较。

两台 C2 服务器中的“受害者验证方法”确保仅在 IP 地址检查成功时才交付 VBScript，表明该方法具有高度针对性。

卡巴斯基研究员 Seongsu Park 说：“Kimsuky 组织不断改进其恶意软件感染方案，并采用新技术来阻碍分析，追踪这个群体的主要困难是很难获得完整的感染链。”