朝鲜APT组织Kimsuky利用Facebook Messenger传播恶意软件，锁定日韩关键人物

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

2024年8月24日，网络安全研究人员揭露了与朝鲜有关的Kimsuky APT组织利用Facebook Messenger进行网络攻击的新策略。这一新型攻击不仅瞄准了日韩两国的关键人物，尤其涉及安全、外交等敏感领域，还揭示了该组织日益复杂的攻击手段。

假冒公职人员，以朝鲜人权为幌子展开攻击

Kimsuky APT组织长期以来专注于通过网络钓鱼手段窃取敏感信息，此次攻击的创新之处在于使用了Facebook假账户，冒充韩国公职人员，并以朝鲜人权等敏感话题为掩护，试图通过Facebook Messenger与目标建立联系。

攻击者利用从真实人物窃取的身份，与朝鲜事务和国家安全领域的专家、官员建立“好友关系”。一旦建立联系，他们会发送包含“私人文件”的消息。这些文件并非普通文档，而是通过托管在OneDrive上的恶意软件。受害者如果点击这些文档，就会触发多阶段攻击链，最终导致恶意软件在其计算机中运行。

从诱饵文档到恶意软件：精心设计的攻击链

研究人员发现，攻击者使用的文档伪装成与日韩美三边峰会有关的内容。文件名如“NZZ_Interview_Kohei Yamamoto.msc”等，意图吸引目标人物下载和打开。令人震惊的是，这些文件最初上传至VirusTotal时，其恶意性并未被检测到，这使得这些文档更加危险。

当受害者通过Microsoft管理控制台（MMC）打开这些文档时，表面上显示的是一篇无害的Word文档，但实际上启动了一个复杂的多阶段攻击链。恶意命令会在后台执行，并尝试连接到C2服务器，获取受害者的敏感信息。

攻击目标：日韩重要人员

分析报告指出，Kimsuky APT此次的目标不仅包括韩国的政府和安全领域人物，还首次针对日本展开了类似攻击。研究人员指出，这些攻击的最终目的可能是窃取情报、部署更多恶意软件，并通过定期运行的计划任务保持对受害系统的持久控制。

这些恶意软件通过创建名为OneDriveUpdate的计划任务，每41分钟重复运行，确保攻击者可以长时间保持对受感染设备的控制。这与Kimsuky此前的“BabyShark”和“ReconShark”等攻击活动中的策略如出一辙。

APT攻击的趋势与防范措施

根据Genians安全中心和韩国互联网安全局（KISA）的数据，2024年第一季度，鱼叉式网络钓鱼攻击仍然是最常见的APT攻击方式。然而，攻击者逐渐转向社交媒体平台，如Facebook Messenger，通过更隐蔽的方式来攻击高价值目标。此次Kimsuky的行动表明，社交媒体已成为APT组织实施复杂网络攻击的又一重要平台。

为了应对这一新型攻击，研究人员建议各国政府和关键领域的专家、官员应提高警惕，尤其是在社交媒体平台上与陌生人互动时要谨慎。加强对网络钓鱼和社交媒体攻击的防范，定期更新安全系统和进行网络安全培训，将有助于降低此类攻击的成功率。

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友加入沟通交流。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：朝鲜APT组织Kimsuky利用Facebook Messenger传播恶意软件，锁定日韩关键人物