forceCopy Stealer
與北韓有關的駭客組織 Kimsuky 被發現使用魚叉式網路釣魚攻擊來傳播一種新發現的名為 forceCopy 的資訊竊取惡意軟體。這些攻擊始於包含偽裝的 Windows 捷徑 (LNK) 檔案的網路釣魚電子郵件,看起來像 Microsoft Office 或 PDF 文件。毫無戒心的收件人在不知情的情況下打開該文件,從而引發執行惡意命令的連鎖反應。
目錄
利用合法工具投遞威脅性負載
一旦使用者與有害附件交互,感染過程就會透過執行 PowerShell 或「mshta.exe」來啟動,後者是用於執行 HTML 應用程式 (HTA) 檔案的合法 Windows 實用程式。這種技術允許攻擊者從外部來源獲取和部署額外的惡意軟體負載而不會引起懷疑。
部署木馬和遠端桌面工具
這些攻擊最終導致已知威脅的部署,包括PEBBLEDASH木馬和 RDP Wrapper 的修改版本(一種用於遠端桌面存取的開源工具)。除此之外,還引入了代理惡意軟體,以確保受感染設備透過遠端桌面協定 (RDP) 與攻擊者的外部網路之間保持持續連線。
鍵盤記錄器和 forceCopy:針對儲存的憑證
據發現,Kimsuky 還使用基於 PowerShell 的鍵盤記錄器來捕獲擊鍵,從而進一步增強了其竊取敏感資訊的能力。此外,新發現的 forceCopy 惡意軟體專門用於提取儲存在 Web 瀏覽器目錄中的檔案。這表示試圖繞過安全限制並直接存取通常儲存登入憑證的瀏覽器設定檔。
策略轉變:使用 RDP 進行主機控制
該組織對 RDP Wrapper 和代理惡意軟體的依賴凸顯了其行動策略的轉變。此前,Kimsuky 主要使用客製化的後門來控制受感染的系統。現在,透過利用廣泛可用的工具,他們旨在保持持久性,同時降低被發現的機會。
APT43:長期存在的網路間諜威脅
Kimsuky 的別名還有 APT43、Black Banshee 和 Emerald Sleet,據信該組織隸屬於朝鮮偵察總局 (RGB),是該國領先的外國情報機構。該組織至少自 2012 年開始活躍,長期實施複雜的社會工程攻擊以繞過電子郵件安全防禦。
利用俄羅斯的網路釣魚活動擴大業務
最近的調查結果表明,Kimsuky 一直在使用俄羅斯電子郵件服務發送的網路釣魚電子郵件進行憑證盜竊活動。 2024 年 12 月觀察到的這項調整反映了該組織不斷改進的策略,因為它不斷改進其社會工程技術,以針對高價值個人和組織。
