曹县黑客欺骗目标以管理员身份输入 PowerShell 命令

Microsoft 威胁情报研究人员发现与曹县有关的威胁组织Kimsuky使用了一种新策略。他们诱骗目标以管理员身份运行 PowerShell 并执行攻击者提供的代码。

Kimsuky APT组织 （又名 ARCHIPELAGO、Black Banshee、Thallium、Velvet Chollima、APT43）于 2013 年首次被卡巴斯基研究人员发现 。该组织受曹县侦察总局 (RGB) 外国情报部门的控制。

该APT组织主要针对韩国智库和组织，其他受害者位于美国、欧洲和俄罗斯。

攻击者冒充韩国政府官员，与目标建立信任，然后发送带有诱饵 PDF 附件的鱼叉式网络钓鱼电子邮件。收件人被诱骗点击 URL 来注册他们的设备，这会导致以管理员身份打开 PowerShell 并粘贴 Emerald Sleet 提供的代码以阅读 PDF 附件。

以管理员身份运行代码后，它会下载并安装基于浏览器的远程桌面工具，并从远程服务器下载带有硬编码 PIN 的证书文件。

然后，代码向远程服务器发送网络请求，使用下载的证书和 PIN 来注册受害者的设备，从而使攻击者能够访问该设备并窃取数据。

微软威胁情报机构表示：“尽管我们自 2025 年 1 月以来仅观察到这种策略在有限的攻击中使用，但这种转变表明他们正在采用一种新方法来危害传统的间谍目标。”

微软向那些遭到与曹县 APT 组织攻击或威胁的客户发出了通知。微软建议对用户进行有关网络钓鱼的培训并采用减少攻击面的规则。

近期，AhnLab 实验室安全情报中心（ASEC）的研究人员发现，曹县 KimsukyAPT组织正在通过鱼叉式网络钓鱼攻击，传播forceCopy信息窃取恶意软件。

根据 ASEC 的报告，受国家支持的黑客发送鱼叉式网络钓鱼邮件，分发伪装成 Office 文档的恶意 *.LNK 快捷方式文件。打开后，他们会执行 PowerShell 或 Mshta 下载 PebbleDash 和 RDP Wrapper 等恶意软件，以控制受感染的系统。

攻击者使用定制的 RDP Wrapper 来实现远程桌面访问，并可能修改导出功能以逃避检测。研究人员注意到，威胁组织还安装了代理恶意软件，以实现对位于私人网络中的受感染系统的外部访问。

Kimsuky 组织使用多种文件格式的键盘记录器，包括 PowerShell 脚本。Kimsuky 还使用 forceCopy 窃取恶意软件来捕获击键并从浏览器目录中提取文件。

新闻链接：

https://www.bleepingcomputer.com/news/security/dprk-hackers-dupe-targets-into-typing-powershell-commands-as-admin/

讲述普通人能听懂的安全故事