朝鲜黑客涉嫌对韩国发动DEEP#DRIVE攻击

一场名为DEEP#DRIVE的网络钓鱼攻击瞄准了韩国实体,已有数千家实体受到影响。来自Kimsuky组织的朝鲜黑客是此次网络间谍活动的主要嫌疑人。

Securonix分享了其对DEEP#DRIVE攻击活动的调查,该攻击活动是一项多阶段行动,自2024年9月以来针对韩国企业、政府实体和加密货币用户。该攻击的主要目的很可能是从韩国实体收集敏感信息的间谍活动,并且已经造成数千名受害者。

在发布之前分享的调查结果显示,攻击者使用用韩语编写的定制网络钓鱼诱饵,伪装成合法文件,例如工作日志、保险文件和加密相关文件,成功渗透到目标环境。

Securonix分享了一张伪装成Telegram.exe应用程序的网络钓鱼诱饵图片,标签为대차 및 파레트(韩语,意为转向架和托盘),其中透露了与物流相关的详细信息,例如产品名称(제품명)、P9地下工厂(P9 지하공장)、总重量(총중량)等,表明可能试图欺骗物流领域的受害者。

这些诱饵是为了吸引目标受众而精心设计的,通常以.hwp、.xlsx和.pptx等受信任的文件格式分发,并托管在Dropbox等广泛使用的平台上,使攻击者能够逃避传统的安全防御并“融入正常的用户行为”。

Secrounix的研究人员在报告中解释道:“很明显,网络钓鱼是此次活动中恶意软件传播的主要方法,因为收集到的样本及其文件名与网络钓鱼诱饵中通常使用的常见主题和措辞高度一致。”

该活动大量利用PowerShell脚本进行有效载荷传递、侦察(收集系统信息,如IP地址、操作系统详细信息、防病毒软件和正在运行的进程)以及建立持久性(使用“ChromeUpdateTaskMachine”等计划任务)。Dropbox也被用于数据泄露。

攻击链通常以伪装成合法文档的.lnk文件开始,该文件会启动恶意PowerShell脚本的执行。这些脚本会下载其他有效负载,包括伪装成合法应用程序(例如“Telegram.exe”)的.NET程序集,并建立持久性。关键侦察脚本“system_first.ps1”会收集并泄露系统信息。

最终的有效负载通常通过“temp.ps1”等脚本传递,被怀疑是后门,但研究人员在分析过程中无法捕获它。攻击者的Dropbox帐户分析显示,大量系统配置文件和各种恶意负载被盗用。

隐秘和混淆是关键要素,攻击者使用诸如无意义的变量名、重复不相关的赋值和字符串连接等技术来逃避检测,而删除相关的Dropbox链接表明攻击基础设施是暂时的。

研究人员观察到,尽管攻击者的基础设施(尤其是Dropbox链接)似乎很短暂,但其策略、技术和程序(TTP)与朝鲜高级持续性威胁(APT)组织Kimsuky使用的策略、技术和程序(TTP)非常相似,该组织“以针对韩国并在之前的活动中使用类似基于Dropbox的方法而闻名”。

Securonix建议对用户进行网络钓鱼教育、监控恶意软件暂存目录以及可靠的端点日志记录(例如PowerShell日志记录),以防御类似的攻击。

发表评论

评论已关闭。

相关文章