与朝鲜有关的APT组织翡翠雨滴正在采用一种新战术

微软威胁情报研究人员发现，与朝鲜有关的威胁行为者“翡翠雨滴”（Emerald Sleet，也称为Kimsuky和VELVET CHOLLIMA）正在使用一种新战术。他们诱骗目标以管理员身份运行PowerShell并执行攻击者提供的代码。

Kimsuky网络间谍组织（又名ARCHIPELAGO、Black Banshee、Thallium、Velvet Chollima、APT43）于2013年首次被卡巴斯基研究人员发现。该组织在朝鲜侦察总局（RGB）外国情报部门的控制下运作。2020年10月底，美国CERT发布了一份关于Kimusky近期活动的报告，提供了有关其战术、技术和程序（TTP）以及基础设施的信息。

该APT组织主要针对韩国的智库和组织，其他受害者位于美国、欧洲和俄罗斯。威胁行为者冒充韩国政府官员以建立与目标的信任，然后发送带有诱饵PDF附件的鱼叉式钓鱼邮件。收件人被诱骗点击URL以注册其设备，随后会收到以管理员身份打开PowerShell并粘贴翡翠雨滴提供的代码以阅读PDF附件的指示。

在以管理员身份运行代码后，它会下载并安装基于浏览器的远程桌面工具，并从远程服务器下载带有硬编码PIN的证书文件。

然后，代码会向远程服务器发送网络请求，使用下载的证书和PIN注册受害者的设备，使攻击者能够访问设备并窃取数据。

微软威胁情报部门表示，“虽然自2025年1月以来，我们仅在有限的攻击中观察到这种战术的使用，但这种转变表明他们正在采用一种新的方法来渗透其传统间谍目标。”微软已通知其受到朝鲜相关APT组织攻击或入侵的客户。这家IT巨头建议对用户进行钓鱼攻击培训，并采用攻击面减少规则。

最近，AhnLab安全情报中心（ASEC）的研究人员观察到朝鲜的Kimsuky APT组织进行鱼叉式钓鱼攻击，以传播forceCopy信息窃取恶意软件。

根据ASEC的报告，国家支持的黑客发送鱼叉式钓鱼消息，分发伪装成Office文档的恶意*.LNK快捷文件。打开后，这些文件会执行PowerShell或Mshta以下载PebbleDash和RDP Wrapper等恶意软件，以控制受感染的系统。攻击者使用自定义的RDP Wrapper来启用远程桌面访问，可能通过修改导出功能来逃避检测。

研究人员注意到，威胁行为者还安装代理恶意软件，以实现对位于私有网络中的受感染系统的外部访问。Kimsuky组织使用多种文件格式的键盘记录器，包括PowerShell脚本。Kimsuky还使用forceCopy窃取恶意软件来捕获击键并从浏览器目录中提取文件。

原文始发于微信公众号（黑猫安全）：与朝鲜有关的APT组织“翡翠雨滴”正在采用一种新战术