北京
網(wǎng)絡(luò)安全公司LogPresso披露,朝鮮背景的黑客組織Kimsuky在2025年上半年發(fā)起了四輪魚叉式網(wǎng)絡(luò)釣魚攻擊,目標(biāo)涵蓋企業(yè)招聘人員、加密貨幣投資者與開發(fā)者、國防部門官員以及研究生院管理人員。該組織以網(wǎng)絡(luò)間諜活動著稱,與朝鮮民主主義人民共和國存在關(guān)聯(lián)。
四輪攻擊采用不同偽裝主題,但技術(shù)路徑高度一致:誘騙目標(biāo)打開文件,進(jìn)而靜默控制其計算機(jī)。招聘人員收到的是虛假簡歷和名片;加密貨幣用戶被Solana模因幣相關(guān)內(nèi)容吸引;國防官員收到的是"K-ICTC國際科學(xué)作戰(zhàn)管理競賽"相關(guān)文件;研究生院工作人員則收到看似正規(guī)的入學(xué)文件。LogPresso分析師指出,所有四起活動的核心目標(biāo)完全一致:在不引起警覺的前提下建立系統(tǒng)立足點(diǎn)。
攻擊流程呈現(xiàn)標(biāo)準(zhǔn)化特征。LogPresso報告顯示,四起活動遵循相同的攻擊鏈條:先展示誘餌文檔分散注意力,同時靜默投放惡意載荷,隨后建立持久化機(jī)制,最終搭建遠(yuǎn)程控制通道。各輪次的主要區(qū)別在于誘餌主題、入口方式和命令控制基礎(chǔ)設(shè)施。
攻擊者在通信偽裝上表現(xiàn)出明顯 sophistication。他們沒有使用可疑的私有服務(wù)器,而是將流量路由至GitHub raw API、微軟CDN、VSCode隧道等可信平臺,使惡意流量與正常活動難以區(qū)分,增加了基于信譽(yù)的安全工具檢測難度。目標(biāo)識別環(huán)節(jié)同樣精細(xì)化,受害者通過唯一ID、IP地址和MAC地址進(jìn)行追蹤定位。
防御規(guī)避是四起活動的共同特征。LogPresso發(fā)現(xiàn),從受害者打開誘餌文件開始計算,五分鐘內(nèi)惡意軟件即完成多項操作:禁用Windows用戶賬戶控制(UAC)、注冊Defender例外、嵌入任務(wù)計劃程序以實(shí)現(xiàn)重啟存活。這種速度極大壓縮了人工發(fā)現(xiàn)的時間窗口。
技術(shù)實(shí)現(xiàn)上,三輪攻擊依賴偽裝成PDF的LNK文件。受害者打開后,兩個隱藏載荷分離執(zhí)行:一部分展示逼真的誘餌文檔維持欺騙,另一部分將次級LNK文件寫入Windows啟動文件夾建立持久化,隨后從攻擊者服務(wù)器下載并執(zhí)行PowerShell腳本。整個過程在五分鐘內(nèi)完成。
第四輪攻擊采用不同技術(shù)路徑,使用雙擴(kuò)展名JSE文件(格式為.hwpx.jse)。由于Windows默認(rèn)隱藏已知擴(kuò)展名,受害者看到的僅為.hwpx后綴,誤以為是韓國辦公軟件Hangul的文檔格式。該JSE文件執(zhí)行后釋放偽裝成PDF的LNK載荷,后續(xù)鏈條與前三輪一致。
LogPresso在報告中強(qiáng)調(diào),基于單一入侵指標(biāo)(IoC)的攔截存在明顯局限,防御方需要覆蓋完整攻擊鏈的行為檢測能力。四起活動的誘餌主題差異顯著,但底層技術(shù)架構(gòu)和操作流程的同質(zhì)性表明,Kimsuky已形成可快速復(fù)用的攻擊模板,能夠針對不同行業(yè)目標(biāo)進(jìn)行主題定制。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
