朝鲜网络间谍组织瞄准大学教授
与朝鲜有关的APT组织 Kimsuky涉嫌发动一系列新攻击,这些攻击针对大学教授、研究人员和其他工作人员,目的是收集情报。 网络安全公司 Resilience表示,在观察到黑客犯下的操作安全 (OPSEC) 错误后,它在 2024 年 7 月下旬发现了这一活动。 Kimsuky,也被称为 APT43、ARCHIPELAGO、Black Banshee、Emerald Sleet、Springtail 和 Velvet Chollima,只是朝鲜政府和军方指导下运作的众多攻击性网络团队之一。 它非常活跃,通常利用鱼叉式网络钓鱼活动作为起点,提供不断扩展的自定义工具集来进行侦察、窃取数据并建立对受感染主机的持续远程访问。 这些攻击还具有以下特点:使用受感染的主机作为临时基础设施,部署经过混淆的 Green Dinosaur Web Shell 版本,然后使用该版本执行文件操作。安全研究员 blackorbird曾在 2024 年 5 月重点介绍了 Kimuksy 对 Web Shell 的使用。 Green Dinosaur 提供的访问权限被滥用来上传预先构建的网络钓鱼页面,这些页面旨在模仿 Naver 和同德大学、高丽大学和延世大学等多所大学的合法登录门户,目的是获取他们的凭证。 接下来,受害者被重定向到另一个网站,该网站指向托管在 Google Drive 上的 PDF 文档,该文档声称是峨山政策研究院八月论坛的邀请。 Resilience 研究人员表示:“此外,在 Kimsuky 的网络钓鱼网站上,还有一个非针对特定目标的网络钓鱼工具包来收集 Naver 帐户。该工具包是一个类似于 Evilginx 的基本代理,用于窃取访问者的 cookie 和凭据,并显示弹出窗口,告诉用户他们需要再次登录,因为与服务器的通信中断了。” 分析还揭示了 Kimsuky 使用的名为 SendMail 的自定义PHPMailer工具,该工具用于向使用 Gmail 和 Daum Mail 帐户的目标发送网络钓鱼电子邮件。 为了应对威胁,建议用户启用防网络钓鱼多因素身份验证 (MFA) 并在登录前仔细检查 URL。 转自军哥网络安全读报,原文链接:https://mp.weixin.qq.com/s/OVKxf4xtx7DuR_dvpB7TBQ 封面来源于网络,如有侵权请联系删除