一名自2012年以来活跃的朝鲜威胁分子一直在幕后发起一场新的间谍活动,目标是与韩国官员有关联的知名政府官员,目的是安装一个Android和Windows后门,以收集敏感信息。
网络安全公司Malwarebytes将该活动归因于一个追踪到的名为Kimsuky的威胁者,目标实体包括外交部、斯里兰卡驻该国大使馆大使、国际原子能机构(IAEA)核安全官员、以及韩国驻香港总领事馆副总领事。
这些攻击还涉及收集韩国其他机构和大学的信息,包括韩国互联网和安全局(KISA)、首尔国立大学和大信证券。然而,Malwarebytes指出,没有证据表明对手主动瞄准或妥协。
这只是一系列针对韩国的监视行动的最新进展。Kimsuky(又名Velvet Chollima、Black Banshee和铊)据信是代表朝鲜政权运作的,有记录指出韩国实体,并将其受害者范围扩大到美国、俄罗斯和欧洲的多个国家。
去年11月,敌人是与一个新的模块化的间谍软件套件叫做“KGH_SPY”,它允许它进行侦察的目标网络,记录击键,窃取机密信息,以及一个隐形的恶意软件的名字“CSPY下载”这是为了打击分析和下载额外的载荷。
Kimsuky的攻击基础设施由模仿Gmail、Microsoft Outlook和Telegram等知名网站的各种钓鱼网站组成,目的是诱骗受害者输入他们的证书。Malwarebytes研究员Hossein Jazi说:“这是这名参与者收集电子邮件地址的主要方法之一,这些地址之后将被用来发送鱼叉式钓鱼电子邮件。”
使用社交工程作为其业务的核心组成部分,目标是分发恶意软件滴管采用某种形式的一个ZIP归档文件附加到电子邮件,最终导致编码的部署DLL载荷称为AppleSeed的后门被Kimsuky早在2019年投入使用。
“除了利用AppleSeed的后门针对Windows用户,这位演员还利用Android的后门针对Android用户,”贾兹指出。“Android的后门可以看作是AppleSeed的移动版后门。它使用与Windows相同的命令模式。此外,Android和Windows的后门都使用了相同的基础设施。”
苹果子的所有特征典型的后门,与无数的功能来记录击键,捕捉截图,收集与特定的扩展名的文档(. txt, ppt, .hwp . pdf, . doc),和收集数据从可移动介质设备连接到机器上时,所有的然后上传到远程指挥和控制服务器。
但也许最有趣的发现是,这个威胁行当在恶意软件源代码中自称铊(铊),这是微软根据其以化学元素命名国家黑客组织的传统,给他们起的名字。
极牛网精选文章《研究人员发现针对韩国政府实体的黑客行动》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/14707.html