朝鲜黑客在重启间谍活动

根据总部位于韩国的安全公司ESTsecurity的最新研究,涉嫌的朝鲜黑客一直在运行针对针对北朝鲜难民的人们的电子邮件欺骗活动。

ESTsecurity安全响应中心(ESRC)的研究人员将这个网络间谍组织归功于名为Geumseong121的组织,该组织诱使其受害者单击看起来与朝鲜难民有关的链接。但是,根据ESRC的说法,该链接并未将有价值的信息传递给收件人,而是指向下载恶意文件的存储库。

该活动因ESRC依赖云服务而被ESRC命名为“ Operation Spy Cloud”,该活动显示黑客组织在12月遭受挫折后恢复了运营,当时微软在该组织的网络钓鱼活动中查获了该组织使用的50个网站。该小组也被广泛称为APT37

据ESRC称,下台后,该小组正在努力隐瞒其活动。例如,攻击者似乎选择提示用户单击其鱼叉式电子邮件中的链接,而不是直接附加恶意文档,以期避免使用安全解决方案。

ESRC研究人员写道:“这使攻击者可以根据需要修改或删除文件,以逃避检测并最小化占用空间。”

该活动于本月初开始,只是金城121开展的最新间谍活动  。去年,朝鲜黑客进行了一次与朝鲜叛逃者有关的行动。该行动被称为“龙信使”,以叛逃者和与朝鲜有关的组织为目标,都带有一个恶意应用程序,该应用程序声称是为朝鲜叛逃者筹款的应用程序。根据ESRC先前的研究,该组织的动机似乎既是经济利益,又是监督

根据ESRC的说法,尽管“间谍云”运动的确切目标尚不清楚,但该小组通常将重点放在投资于朝鲜与韩国统一,外交事务,国家安全或朝鲜难民的人员上。

攻击

一旦受害者单击链接和恶意文档,范围从.doc,.xls到韩国政府使用的文字处理器格式.hwp,攻击者还将向受害者分发恶意的Visual Basic for Applications(VBA)宏文件。 。

然后,该恶意软件会连接到攻击者的命令和控制服务器Google云端硬盘,并尝试将系统信息共享给PickCloud。据研究人员称,一旦用户进入这一步骤,攻击者可能还会尝试安装其他后门。

据ESRC称,该活动包括基于Windows和Android的组件。

ESRC研究人员写道,除了内容上的相似之外,ESRC将该活动归因于金城121,因为战术,技术,程序和最终有效载荷“与该小组最近进行的另一次网络间谍活动中使用的材料“完全相同”。 。ESRC还发现以前的Geumseong121活动和Spy Cloud活动之间相似的编码技术和对云服务的相似依赖。

ESRC研究人员指出,此活动中用于注册云服务的电子邮件帐户也类似于该组织在先前活动中使用的电子邮件帐户。

目前尚不清楚金城121本月是否成功窃取了数据,或者该集团最终可能会寻求什么样的信息或财务收益。

0 0 vote
Article Rating

未经允许不得转载:x-sec » 朝鲜黑客在重启间谍活动

赞 (0) 打赏
Subscribe
Notify of
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x