朝鲜APTEmerald Sleet新招曝光：钓鱼邮件诱导管理员权限执行！

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

近日，微软威胁情报团队披露，朝鲜关联的APT组织Emerald Sleet（又称Kimsuky、Velvet Chollima等）正悄然改变传统间谍战术，利用全新方法诱导目标用户以管理员身份运行PowerShell，从而悄无声息地获取敏感数据。

新策略：从信任到执行

这次，攻击者首先伪装成南韩政府官员，通过精心设计的鱼叉式钓鱼邮件，将带有诱导性PDF附件发送给目标用户。邮件中不仅建立了虚假的信任，还附上了一个恶意链接。当受害者点击链接注册设备后，页面会提示用户以管理员身份打开PowerShell，并粘贴由攻击者提供的代码。成功运行后，代码会悄然下载并安装浏览器远程桌面工具，同时从远程服务器获取带有硬编码PIN的证书文件。接着，系统会自动发送注册请求，使攻击者能够长期控制目标设备并窃取数据。

幕后黑手：老牌APT的新动作

Kimsuky（又名Emerald Sleet）自2013年首次曝光以来，一直以针对南韩智库和各类政府机构闻名，其目标范围甚至扩展到美国、欧洲和俄罗斯。而此次新策略的出现，标志着该组织在网络间谍活动中不断推陈出新，通过巧妙利用PowerShell及其它系统工具，在不依赖自定义恶意软件的情况下，实现对受害系统的隐蔽渗透。

此外，近期韩国安铠安全情报中心（ASEC）的报告显示，该组织还通过伪装成Office文档的*.LNK快捷方式，诱导目标执行PowerShell或Mshta，下载类似PebbleDash和RDP Wrapper等工具，实现远程桌面控制和代理木马安装，进一步扩大攻击面。

为何选择PowerShell？

PowerShell作为Windows系统内置的自动化工具，具备极高的灵活性和强大功能，同时常常被忽视为安全风险点。利用管理员权限运行PowerShell，攻击者不仅能绕过常规安全检测，还能迅速执行各种恶意命令，从而在短时间内掌控整个系统。

安全建议：防患未然

面对Emerald Sleet的新策略，专家建议企业和个人务必提高安全意识：

加强钓鱼邮件培训：定期对员工进行网络钓鱼防范培训，识别可疑邮件和附件。

限制PowerShell权限：通过组策略和应用白名单，对PowerShell的使用进行严格控制。

部署攻击面缩减措施：启用多因素认证、应用最新补丁以及实时监控异常行为，及时发现并阻断攻击链。

及时响应与修复：建立完善的应急响应机制，确保在被攻击后能够迅速隔离、取证和恢复系统。

结语

Emerald Sleet这次利用PowerShell进行的全新攻击方式，再次提醒我们：在这个不断演化的网络安全环境中，唯有不断更新防护策略、提升全员安全意识，才能真正抵御来自国家级黑客组织的威胁。请大家务必转发本文，让更多人了解这场最新网络攻防战，携手构建更加坚固的数字防线！

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友入圈沟通交流。

免费知识星球，不定期提供网上资源，也作为与粉丝的沟通桥梁。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：朝鲜APT“Emerald Sleet”新招曝光：钓鱼邮件诱导管理员权限执行！