一个朝鲜黑客组织一直在通过充满恶意软件的博客文章攻击韩国的智囊团。
在自 2021 年 6 月开始追踪的一项新活动中,国家资助的高级持续威胁 (APT) 组织一直试图在受害机器上植入监视和基于盗窃的恶意软件。
周三,来自 Cisco Talos 的研究人员表示,Kimsuky APT,也被称为 Thallium 或 Black Banshee,是攻击的罪魁祸首,其中恶意的 Blogspot 内容被用来引诱“韩国智囊团,他们的研究重点是政治与朝鲜、俄罗斯和美国有关的外交和军事话题。”
具体来说,地缘政治和航空航天组织似乎都在 APT 的关注范围内。
Kimsuky 至少自 2012 年以来一直活跃。美国网络安全和基础设施安全局 (CISA) 于 2020 年发布了关于 APT 的咨询 (.PDF),指出该国家资助的小组由朝鲜政府负责“全球情报搜集。”过去的受害者位于韩国、日本和美国。
AhnLab 表示,电子邮件中附带的补偿表格、调查问卷和研究文件过去曾被用作网络钓鱼诱饵,而在 Talos 检测到的活动中,恶意 Microsoft Office 文档仍然是主要的攻击媒介。
通常,恶意 VBA 宏包含在文档中,一旦触发,将从 Blogspot 下载有效负载。
据该团队称,这些博客文章基于 Gold Dragon/Brave Prince 恶意软件系列提供了三种类型的恶意内容:初始信标、文件窃取程序和植入部署脚本——后者旨在感染端点并启动进一步的恶意软件组件,包括键盘记录器、信息窃取器和用于网站登录凭据盗窃的文件注入器模块。
虽然一些 APT 会试图从受感染的机器上窃取他们所能窃取的任何内容,但 Kimsuky 采取了不同的方法。相反,威胁参与者将扫描他们特别感兴趣的文件。
“攻击者确切地知道他们在寻找哪些文件,”Talos 评论道。 “这表明攻击者对其目标的端点有深入的了解,这可能是从以前的妥协中获得的。”
研究人员将他们的发现告知谷歌,恶意博客内容已被删除。然而,这不太可能阻止 Kimsuky 的活动。
研究人员说:“Kimsuky 是一个积极主动的威胁行为者,目标是韩国的许多实体。” “该组织一直在不懈地创建新的感染链,以向受害者提供不同类型的恶意软件。此类有针对性的攻击可能导致受限研究的泄露、未经授权的间谍访问,甚至对目标组织的破坏性攻击。”