微软威胁情报团队最新披露,Kimsuky正在使用一种全新的攻击策略,通过精心设计的骗局,诱导目标以管理员身份运行PowerShell,并粘贴执行由攻击者提供的恶意代码!
攻击手法揭秘:
- 伪装身份,建立信任:
攻击者冒充韩国政府官员,通过一段时间的沟通与目标建立信任。 - 鱼叉邮件,诱导点击:
向目标发送带有PDF附件的鱼叉式网络钓鱼邮件。 - “注册”陷阱,引诱执行:
为了阅读所谓的PDF文档,受害者会被诱导点击一个URL,该URL包含一系列“注册”其Windows系统的步骤。这些步骤会引导他们以管理员身份启动PowerShell,并复制/粘贴页面上显示的代码片段到终端中执行。 - 后门植入,远程控制:
一旦受害者照做,恶意代码将从远程服务器下载并安装一个基于浏览器的远程桌面工具,以及一个带有硬编码PIN的证书文件。 - 数据窃取,远程操控:
代码随后向远程服务器发送Web请求,使用下载的证书和PIN注册受害设备。这使得攻击者可以访问设备并进行数据窃取。
不同寻常的转变:
微软表示,自2025年1月以来,他们在有限的攻击中观察到这种方法的应用,并指出这与Kimsuky惯用的攻击手法有所不同。
不止Kimsuky:其他朝鲜黑客也在用!
值得注意的是,Kimsuky并不是唯一采用这种入侵策略的朝鲜黑客组织。2024年12月,有报告揭露,与“Contagious Interview”活动相关的威胁行为者也通过类似手法,欺骗用户在苹果macOS系统上通过终端应用程序复制并执行恶意命令,以解决所谓的通过Web浏览器访问摄像头和麦克风的问题。
“ClickFix”方法兴起:用户成“帮凶”
此类攻击,以及那些采用了所谓的“ClickFix”方法的攻击,最近几个月大幅增加。这在一定程度上是因为它们依赖于目标自己感染自己的机器,从而绕过了安全防护。
美国女子协助朝鲜IT工作者,面临指控
与此同时,美国司法部(DoJ)表示,一名来自亚利桑那州的48岁女性因参与欺诈性的IT工作者计划而认罪。该计划允许朝鲜威胁行为者冒充美国公民和居民,在美国300多家公司获得远程工作。
这项活动在2020年10月至2023年10月期间为Christina Marie Chapman和朝鲜带来了超过1710万美元的非法收入,违反了国际制裁。
Chapman被指控通过在其住所托管多台笔记本电脑来运营一个“笔记本电脑农场”,给人的印象是朝鲜工人是在美国境内工作,而实际上他们身在中国和俄罗斯,并远程连接到公司的内部系统。
执法力度加大,朝鲜IT工作者转向勒索
由于执法部门的审查力度加大,朝鲜IT工作者计划升级,出现了数据窃取和勒索的报告。
美国联邦调查局(FBI)在上个月的一份咨询报告中表示:“在公司网络中被发现后,朝鲜IT工作人员通过扣押被盗的专有数据和代码来勒索受害者,直到公司满足赎金要求。在某些情况下,朝鲜IT工作人员公开了受害公司的专有代码。”
总结与建议:
-
Kimsuky的新攻击手法利用了用户的信任和疏忽,绕过了传统的安全防御。 -
“ClickFix”类攻击日益猖獗,用户自身成为攻击链中的重要一环。 -
朝鲜IT工作者活动持续活跃,并转向更具破坏性的勒索模式。
建议:
- 提高警惕:
对任何要求以管理员身份运行PowerShell或执行不明代码的请求保持高度警惕。 - 谨慎点击:
不要轻易点击来历不明的链接或打开可疑附件。 - 多因素验证:
启用多因素身份验证,增加账户安全性。 - 及时更新:
保持操作系统和应用程序的最新状态,及时修补漏洞。 - 报告可疑活动:
如果怀疑自己成为攻击目标,请立即向相关部门报告。
原文始发于微信公众号(技术修道场):警惕!朝鲜黑客Kimsuky新伎俩:诱骗用户“自投罗网”
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论