HackerNews 编译,转载请注明出处:
与朝鲜有关的黑客组织Kimsuky近日被发现使用一种新策略,通过欺骗目标以管理员身份运行PowerShell,随后指示受害者粘贴并执行其提供的恶意代码。
微软威胁情报团队在X平台上发布的一系列帖子中表示:“为了执行这一战术,黑客伪装成韩国政府官员,并与目标建立信任关系,之后通过钓鱼邮件发送带有PDF附件的邮件。”
受害者被说服点击包含Windows系统注册步骤链接的URL,以查看所谓的PDF文档。该注册链接要求受害者以管理员身份启动PowerShell并将显示的代码片段复制并粘贴到终端中执行。
如果受害者照做,恶意代码将下载并安装基于浏览器的远程桌面工具,并从远程服务器下载包含硬编码PIN的证书文件。
微软表示:“该代码随后向远程服务器发送网页请求,使用下载的证书和PIN注册受害者的设备。这使得黑客能够访问该设备并进行数据外泄。”
微软还表示,自2025年1月以来,该攻击方法在少数攻击中得到了应用,并称其与Kimsuky黑客组织以往的攻击手法有所不同。
值得注意的是,Kimsuky并非唯一采用这种攻击策略的朝鲜黑客组织。2024年12月,调查显示,与“传染性面试”活动相关的黑客组织也通过类似方式欺骗用户,在Apple macOS系统的终端应用中复制并执行恶意命令,声称是为了解决浏览器无法访问摄像头和麦克风的问题。
此类攻击在近几个月内迅速增加,部分原因在于它们依赖目标自行感染机器,从而绕过了安全防护。
亚利桑那州女子承认为朝鲜IT工人运营“笔记本电脑农场”
与此同时,美国司法部(DoJ)宣布,亚利桑那州一名48岁女子因参与诈骗IT工人计划认罪,该计划使朝鲜黑客能够冒充美国公民和居民,在超过300家美国公司获得远程工作机会。
司法部表示,从2020年10月到2023年10月,这一活动为Christina Marie Chapman和朝鲜非法获利超过1710万美元,违反了国际制裁。
司法部称:“作为美国公民,Chapman与海外IT工人合作,从2020年10月到2023年10月,盗取美国国民的身份,并利用这些身份申请远程IT工作,进一步实施计划时,向国土安全部传递虚假文件。”
“Chapman和她的同谋在数百家美国公司获得了工作机会,包括财富500强公司,通常是通过临时工作人员公司或其他承包机构。”
被告于2024年5月被捕,她还被指控通过在家中设置多个笔记本电脑,运营一个“笔记本电脑农场”,制造出朝鲜工人正在国内工作的假象,实际上这些工人位于中国和俄罗斯,通过远程连接到公司的内部系统。
司法部补充道:“由于Chapman及其同谋的行为,超过300家美国公司受影响,超过70个美国公民身份被泄露,超过100次向DHS传递虚假信息,超过70名美国人被错误地创建了税务责任。”
随着执法部门加大对这一IT工人计划的审查,相关的数据外泄和勒索行为不断升级。
美国联邦调查局(FBI)在上个月发布的通报中表示:“在被发现连接到公司网络后,朝鲜IT工人通过扣押窃取的专有数据和代码进行勒索,直到公司满足赎金要求。”FBI还表示:“在某些情况下,朝鲜IT工人已公开发布受害公司专有代码。”
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
