曹县 APT Kimsuky 使用 forceCopy 恶意软件窃取浏览器存储的凭据

根据韩国ahnlab安全情报中心 (ASEC) 的最新发现，与曹县有关的黑客组织 Kimsuky 被发现进行鱼叉式网络钓鱼攻击，以传播名为 forceCopy 的信息窃取恶意软件。

攻击始于包含伪装成 Microsoft Office 或 PDF 文档的 Windows 快捷方式 (LNK) 文件的网络钓鱼电子邮件。

打开此附件会触发 PowerShell 或 mshta.exe 的执行，这是一个合法的 Microsoft 二进制文件，旨在运行 HTML 应用程序 (HTA) 文件，负责从外部来源下载并运行下一阶段的有效负载。

这家韩国网络安全公司表示，此次攻击最终部署了一种名为PEBBLEDASH的已知木马和一个名为RDP Wrapper 的开源远程桌面实用程序的定制版本。

攻击中还附带一种代理恶意软件，允许攻击者通过 RDP 与外部网络建立持续通信。

此外，据观察，Kimsuky 使用基于 PowerShell 的键盘记录器来记录击键，并使用代号为 forceCopy 的新窃取恶意软件来复制存储在与 Web 浏览器相关的目录中的文件。

ASEC 表示：“安装恶意软件的所有路径都是网络浏览器的安装路径。据推测，威胁组织正试图绕过特定环境中的限制并窃取存储凭据的网络浏览器的配置文件。”

使用工具 RDP Wrapper 和代理来控制受感染的主机表明 Kimsuky 的战术发生了转变，该公司过去曾利用定制的后门来实现这一目的。

Kimsuky 威胁组织也被称为 APT43、Black Banshee、Emerald Sleet、Sparkling Pisces、Springtail、TA427 和 Velvet Chollima，据评估与曹县主要对外情报机构侦察总局 (RGB) 有关联。

Kimusky 至少从 2012 年开始活跃，曾策划过能够绕过电子邮件安全保护的定制社交工程攻击。2024 年 12 月，网络安全公司 Genians透露，黑客团队一直在发送源自俄罗斯服务的网络钓鱼消息，以进行凭证盗窃。

技术报告：

https://asec.ahnlab.com/en/86098/

新闻链接：

https://thehackernews.com/2025/02/north-korean-apt-kimsuky-uses-lnk-files.html