威胁情报信息分享|朝鲜APT组织Kimsuky再次发起攻击

被称为Kimsuky的朝鲜APT组织已经被观察到使用一款名为RandomQuery的定制恶意软件，作为侦查和信息外泄操作的一部分。

SentinelOne的研究人员Aleksandar Milenkoski和Tom Hegel在今天发布的报告中表示：“最近，Kimsuky一直在一贯地分发定制恶意软件，作为侦查活动的一部分，以启用后续攻击。”

据该网络安全公司称，正在进行的有针对性的活动主要针对信息服务，以及支持人权活动家和朝鲜脱北者的组织。

自2012年以来一直活跃的Kimsuky，展示出的目标模式符合朝鲜的操作命令和优先事项。

情报收集任务涉及使用一套多样化的恶意软件，包括一个名为ReconShark的侦查程序，SentinelOne在本月早些时候已经详细介绍了这一点。

与该组织相关的最新活动集群始于2023年5月5日，并利用了一个专门设计用来枚举文件和窃取敏感数据的RandomQuery变体。

RandomQuery，以及FlowerPower和AppleSeed，是Kimsuky武器库中最常分发的工具，前者作为信息窃取器和分发远程访问木马如TutRAT和xRAT的通道。

这些攻击始于伪装成来自Daily NK的网络钓鱼邮件，Daily NK是一家位于首尔的知名在线出版物，主要报道朝鲜事务，以引诱潜在目标打开一个Microsoft编译的HTML帮助（CHM）文件。

值得注意的是，CHM文件也被另一个被称为ScarCruft的朝鲜APT组织采用作为诱饵。

启动CHM文件会导致执行一个Visual Basic脚本，该脚本向远程服务器发出一个HTTP GET请求，以检索第二阶段的有效payload，即RandomQuery的VBScript版本。

然后，恶意软件开始收集系统元数据、正在运行的进程、已安装的应用程序和来自不同文件夹的文件，所有这些都被传输回命令和控制（C2）服务器。

研究人员表示：“这个活动也展示了该组织通过CHM文件传递恶意软件的一贯做法。”

“这些事件凸显出朝鲜APT组织的格局不断变化，其任务不仅包括APT攻击政治目标的活动，还包括破坏和金融威胁。”

这项发现在AhnLab Security Emergency Response Center (ASEC)几天前发现Kimsuky发起的一次水坑攻击后出现，该攻击包括设置一个类似于国家政策研究所使用的网络邮件系统，以收集受害者输入的凭据。

在相关的发展中，Kimsuky还与利用易受攻击的Windows Internet Information Services (IIS)服务器进行武器化的攻击有关，以投放Metasploit Meterpreter后期利用框架，然后使用该框架来部署基于Go的代理恶意软件。

原文始发于微信公众号（XDsecurity）：威胁情报信息分享|朝鲜APT组织Kimsuky再次发起攻击