大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。
一场网络攻击行动大量使用 Dropbox 文件夹和 PowerShell 脚本以躲避检测,并且在研究人员开始调查后迅速废弃相关基础设施组件。
Securonix 揭示 Kimsuky 的 “DEEP#DRIVE” 行动
与朝鲜有关联的威胁组织越来越多地采用 “就地取材”(LotL)技术以及可信服务来逃避检测。最近,Kimsuky 的一场行动展示了其对 PowerShell 脚本的运用,以及将数据存储在 Dropbox 文件夹中的手段,同时其操作安全性也有所提升。
在这场被安全公司 Securonix 称为 “DEEP#DRIVE” 的行动中,该威胁组织利用虚假工作记录、保险文件以及加密货币相关文件,诱使用户下载并运行一个压缩的快捷方式文件。该文件会收集系统配置信息,随后执行 PowerShell 和.NET 脚本。攻击工具将系统数据上传至 Dropbox 文件夹,接着下载更多命令和功能以进一步实施破坏。
Securonix 的高级威胁研究员蒂姆・佩克表示,虽然攻击者对快速获取经济利益(如针对加密货币用户)表现出一定兴趣,但在很大程度上,该威胁组织专注于从韩国政府机构和企业窃取敏感数据。
他指出:“我们观察到既有间谍活动又有经济动机的证据,不过更倾向于间谍活动。这与 Kimsuky 以往针对韩国政府机构、企业和战略产业的目标一致。”
朝鲜网络行动频繁针对韩国和美国
朝鲜的网络行动组织一直频繁针对韩国和美国,韩国政府机构和企业是其最常攻击的目标之一。2024 年 9 月,美国联邦调查局(FBI)发出警告,称朝鲜组织计划对拥有大量加密货币储备的机构发动一系列攻击。去年,Kimsuky 也针对韩国目标发动了类似的多阶段攻击。
一个多面的威胁组织
威胁情报公司 Recorded Future 称,Kimsuky 并非单一实体,而是包含五个威胁小组,这些小组与其他公司认定的同一组织存在重叠情况。例如,其中一个小组倾向于针对医疗保健和酒店行业,而另一个则专注于加密货币市场。
加入知识星球,可继续阅读
一、"全球高级持续威胁:网络世界的隐形战争",总共26章,为你带来体系化认识APT,欢迎感兴趣的朋友入圈交流。
二、"DeepSeek:APT攻击模拟的新利器",为你带来APT攻击的新思路。
喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。
原文始发于微信公众号(紫队安全研究):朝鲜 Kimsuky 利用可信平台攻击韩国
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论