朝鲜国家级黑客组织Kimsuky利用forceCopy恶意软件进行鱼叉式网络钓鱼攻击,窃取浏览器存储的敏感信息。
据韩国网络安全公司AhnLab Security Intelligence Center(ASEC)2月6日消息,与朝鲜有关的国家级黑客组织Kimsuky被发现利用名为forceCopy的信息窃取恶意软件进行鱼叉式网络钓鱼攻击。
攻击活动始于2024年3月,攻击者通过伪装成Microsoft Office或PDF文档的Windows快捷方式(LNK)文件的钓鱼邮件开始攻击。打开附件会触发PowerShell或mshta.exe的执行,这些是微软合法的二进制文件,用于下载和运行来自外部源的下一阶段有效载荷。
此次攻击最终部署了已知的木马PEBBLEDASH和开源远程桌面工具RDP Wrapper的自定义版本。攻击者还使用了代理恶意软件,通过RDP建立与外部网络的持久通信。
此外,Kimsuky还被发现使用基于PowerShell的键盘记录器记录按键,并使用新的forceCopy窃取恶意软件复制存储在Web浏览器相关目录中的文件。
“所有恶意软件安装的路径都是Web浏览器的安装路径,”ASEC表示。“据推测,威胁行为者试图绕过特定环境中的限制,窃取存储凭据的Web浏览器配置文件。”
使用RDP Wrapper和代理工具来控制受感染主机,表明Kimsuky的战术发生了变化,该组织历史上一直使用定制的后门程序。
Kimsuky,也被称为APT43、Black Banshee、Emerald Sleet、Sparkling Pisces、Springtail、TA427和Velvet Chollima,被认为与朝鲜主要对外情报机构侦察总局(Reconnaissance General Bureau)有关。
自2012年以来,Kimsuky一直活跃,擅长组织定制的社会工程攻击,能够绕过电子邮件安全防护。2024年12月,网络安全公司Genians透露,该黑客组织一直在发送来自俄罗斯服务的钓鱼信息,以进行凭证窃取。
转载请注明出处@安全威胁纵横,封面由ChatGPT生成;
本文来源:https://thehackernews.com/2025/02/north-korean-apt-kimsuky-uses-lnk-files.html
原文始发于微信公众号(安全威胁纵横):朝鲜黑客新招!forceCopy恶意软件可窃取浏览器敏感数据
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论