forceCopy Stealer
据发现,与朝鲜有关的黑客组织 Kimsuky 使用鱼叉式网络钓鱼攻击来传播一种新发现的信息窃取恶意软件 forceCopy。这些攻击始于包含伪装的 Windows 快捷方式 (LNK) 文件的网络钓鱼电子邮件,这些文件看起来像是 Microsoft Office 或 PDF 文档。毫无戒心的收件人在不知情的情况下打开该文件,从而引发执行恶意命令的连锁反应。
目录
利用合法工具投递威胁性负载
一旦用户与有害附件交互,感染过程就会通过执行 PowerShell 或“mshta.exe”开始,后者是用于运行 HTML 应用程序 (HTA) 文件的合法 Windows 实用程序。这种技术允许攻击者从外部来源获取和部署额外的恶意软件负载而不会引起怀疑。
部署木马和远程桌面工具
这些攻击最终导致部署已知威胁,包括PEBBLEDASH木马和 RDP Wrapper 的修改版本(一种用于远程桌面访问的开源工具)。除此之外,还引入了代理恶意软件,以确保受感染设备通过远程桌面协议 (RDP) 与攻击者的外部网络保持持续连接。
键盘记录器和 forceCopy:针对存储的凭证
Kimsuky 还被发现使用基于 PowerShell 的键盘记录器来捕获按键,这进一步增强了他们窃取敏感信息的能力。此外,新发现的 forceCopy 恶意软件专门用于提取存储在 Web 浏览器目录中的文件。这表明他们试图绕过安全限制并直接访问通常存储登录凭据的浏览器配置文件。
战略转变:使用 RDP 进行主机控制
该组织对 RDP Wrapper 和代理恶意软件的依赖凸显了其行动策略的转变。此前,Kimsuky 主要使用定制后门来控制受感染的系统。现在,通过利用广泛可用的工具,他们的目标是保持持久性,同时降低被发现的机会。
APT43:长期存在的网络间谍威胁
Kimsuky 又名 APT43、Black Banshee 和 Emerald Sleet,据信是朝鲜侦察总局 (RGB) 下属机构,该机构是朝鲜领先的外国情报机构。该组织至少从 2012 年开始活跃,长期以来一直执行复杂的社会工程攻击,以绕过电子邮件安全防御。
利用俄罗斯的网络钓鱼活动扩大业务
最近的调查结果表明,Kimsuky 一直在使用俄罗斯电子邮件服务发送的网络钓鱼电子邮件进行凭据窃取活动。2024 年 12 月观察到的这一变化反映了该组织不断改进其社会工程技术以针对高价值个人和组织而不断演变的策略。
