HackerNews 编译,转载请注明出处:
与朝鲜关联的黑客组织ScarCruft(又称APT27、Reaper)被曝研发新型安卓间谍软件KoSpy,主要针对韩语及英语用户实施监控。网络安全公司Lookout披露,该恶意活动最早可追溯至2022年3月,最新样本于2024年3月被发现,具体感染规模尚不明确。
KoSpy间谍软件通过Google Play官方商店中伪装的实用程序传播,包括”文件管理器”、”手机管家”、”智能管理器”、”软件更新工具”及”Kakao安全组件”等名称。这些应用在提供基础功能的同时,后台秘密加载间谍模块以窃取短信、通话记录、定位信息、本地文件、屏幕截图、键盘输入、Wi-Fi网络数据及已安装应用列表,并具备录音和拍照能力。目前相关应用已下架。
感染设备后,恶意程序首先连接Firebase Firestore云数据库获取含真实命令与控制(C2)服务器地址的配置。这种两阶段通信机制利用合法云服务作为跳板,使攻击者可动态更换C2地址以规避检测。KoSpy还内置反模拟器检测及激活日期验证功能,防止安全人员分析时触发恶意行为。
Lookout指出,KoSpy攻击基础设施与朝鲜另一知名黑客组织Kimsuky(APT43)存在重叠。与此同时,安全公司Socket发现6个被植入信息窃取木马BeaverTail的npm包(总下载量超330次),这些恶意模块仿冒流行库名称进行拼写错误攻击(typosquatting),旨在窃取浏览器凭据及Solana、Exodus等加密货币钱包数据。该活动与朝鲜长期运营的”传染性面试”(Contagious Interview)攻击行动相关联。
帕洛阿尔托网络Unit 42团队同期发现,朝鲜黑客正使用基于Rust语言开发的macOS后门RustDoor(又名ThiefBucket)及新型窃密程序Koi Stealer攻击加密货币行业。攻击链通过伪造的”工作面试”项目诱导开发者使用微软Visual Studio执行恶意代码,进而窃取LastPass密码、建立反向Shell并上传Koi Stealer变种。该窃密程序通过伪装Visual Studio骗取系统密码,最终实现全盘数据窃取。
研究人员强调,此类结合社会工程与多层恶意负载的攻击手段,尤其当涉及国家级黑客组织时,对全球机构构成重大威胁。建议企业加强供应链安全审查,警惕仿冒合法软件及开发工具的网络钓鱼行为,并对员工进行针对性安全意识培训。
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
