HackerNews 编译,转载请注明出处:
据韩国网络安全公司AhnLab Security Intelligence Center(ASEC)2月6日消息,与朝鲜有关的国家级黑客组织Kimsuky被发现利用名为forceCopy的信息窃取恶意软件进行鱼叉式网络钓鱼攻击。
攻击活动始于2024年3月,攻击者通过伪装成Microsoft Office或PDF文档的Windows快捷方式(LNK)文件的钓鱼邮件开始攻击。打开附件会触发PowerShell或mshta.exe的执行,这些是微软合法的二进制文件,用于下载和运行来自外部源的下一阶段有效载荷。
此次攻击最终部署了已知的木马PEBBLEDASH和开源远程桌面工具RDP Wrapper的自定义版本。攻击者还使用了代理恶意软件,通过RDP建立与外部网络的持久通信。此外,Kimsuky还被发现使用基于PowerShell的键盘记录器记录按键,并使用新的forceCopy窃取恶意软件复制存储在Web浏览器相关目录中的文件。
“所有恶意软件安装的路径都是Web浏览器的安装路径,”ASEC表示。“据推测,威胁行为者试图绕过特定环境中的限制,窃取存储凭据的Web浏览器配置文件。”
使用RDP Wrapper和代理工具来控制受感染主机,表明Kimsuky的战术发生了变化,该组织历史上一直使用定制的后门程序。
Kimsuky,也被称为APT43、Black Banshee、Emerald Sleet、Sparkling Pisces、Springtail、TA427和Velvet Chollima,被认为与朝鲜主要对外情报机构侦察总局(Reconnaissance General Bureau)有关。自2012年以来,Kimsuky一直活跃,擅长组织定制的社会工程攻击,能够绕过电子邮件安全防护。2024年12月,网络安全公司Genians透露,该黑客组织一直在发送来自俄罗斯服务的钓鱼信息,以进行凭证窃取。
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
