被称为Kimsuky的朝鲜APT组织已经被观察到使用一款名为RandomQuery的定制恶意软件,作为侦查和信息外泄操作的一部分。
SentinelOne的研究人员Aleksandar Milenkoski和Tom Hegel在今天发布的报告中表示:“最近,Kimsuky一直在一贯地分发定制恶意软件,作为侦查活动的一部分,以启用后续攻击。”
据该网络安全公司称,正在进行的有针对性的活动主要针对信息服务,以及支持人权活动家和朝鲜脱北者的组织。
自2012年以来一直活跃的Kimsuky,展示出的目标模式符合朝鲜的操作命令和优先事项。
情报收集任务涉及使用一套多样化的恶意软件,包括一个名为ReconShark的侦查程序,SentinelOne在本月早些时候已经详细介绍了这一点。
与该组织相关的最新活动集群始于2023年5月5日,并利用了一个专门设计用来枚举文件和窃取敏感数据的RandomQuery变体。
RandomQuery,以及FlowerPower和AppleSeed,是Kimsuky武器库中最常分发的工具,前者作为信息窃取器和分发远程访问木马如TutRAT和xRAT的通道。
这些攻击始于伪装成来自Daily NK的网络钓鱼邮件,Daily NK是一家位于首尔的知名在线出版物,主要报道朝鲜事务,以引诱潜在目标打开一个Microsoft编译的HTML帮助(CHM)文件。
值得注意的是,CHM文件也被另一个被称为ScarCruft的朝鲜APT组织采用作为诱饵。
启动CHM文件会导致执行一个Visual Basic脚本,该脚本向远程服务器发出一个HTTP GET请求,以检索第二阶段的有效payload,即RandomQuery的VBScript版本。
然后,恶意软件开始收集系统元数据、正在运行的进程、已安装的应用程序和来自不同文件夹的文件,所有这些都被传输回命令和控制(C2)服务器。
研究人员表示:“这个活动也展示了该组织通过CHM文件传递恶意软件的一贯做法。”
“这些事件凸显出朝鲜APT组织的格局不断变化,其任务不仅包括APT攻击政治目标的活动,还包括破坏和金融威胁。”
这项发现在AhnLab Security Emergency Response Center (ASEC)几天前发现Kimsuky发起的一次水坑攻击后出现,该攻击包括设置一个类似于国家政策研究所使用的网络邮件系统,以收集受害者输入的凭据。
在相关的发展中,Kimsuky还与利用易受攻击的Windows Internet Information Services (IIS)服务器进行武器化的攻击有关,以投放Metasploit Meterpreter后期利用框架,然后使用该框架来部署基于Go的代理恶意软件。
原文始发于微信公众号(XDsecurity):威胁情报信息分享|朝鲜APT组织Kimsuky再次发起攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论