朝鮮黑客用新版偵察軟件布局全球網絡間諜

據觀察，朝鮮 Kimsuky 黑客組織在全球范圍的網絡間諜活動中使用了新版本的偵察惡意軟件，現在稱為“ReconShark”。

Sentinel Labs 報告稱，威脅行為者擴大了目標范圍，現在瞄準美國、歐洲和亞洲的政府組織、研究中心、大學和智庫。

2023年3月，韓國和德國當局警告說，Kimsuky（也稱為 Thallium 和 Velvet Chollima）開始傳播針對 Gmail 帳戶的惡意 Chrome 擴展程序和充當遠程訪問木馬的 Android 間諜軟件。

此前，在 2022 年 8 月，卡巴斯基披露了另一項針對韓國政治家、外交官、大學教授和記者的 Kimsuky 活動，該活動使用多階段目標驗證方案，確保只有有效目標才會感染惡意負載。

釣魚攻擊

在Microsoft默認禁用下載的Office文檔的宏后，大多數威脅參與者在網絡釣魚攻擊中切換到新的文件類型，例如ISO文件和最近的OneNote文檔。

Sentinel Labs 的高級威脅研究員Tom Hegel說：“攻擊者可能希望輕松戰勝過時版本的Office，或者只是希望用戶啟用宏。Kimsuky在這里并沒有太多創新——特別是因為他們仍在發展 BabyShark 惡意軟件系列。”

Kimsuky 攻擊中使用的惡意文檔(Sentinel Labs)

Microsoft在默認情況下對下載的 Office 文檔禁用宏后，大多數威脅參與者轉而使用新的文件類型進行網絡釣魚攻擊，例如ISO文件，以及最近的OneNote文檔。

Sentinel Labs 的高級威脅研究員 Tom Hegel 說：“攻擊者可能希望輕松戰勝過時版本的 Office，或者只是希望用戶啟用宏。Kimsuky 在這里并沒有太多創新——特別是因為他們仍在發展 BabyShark 惡意軟件系列。”

偵察鯊魚

ReconShark 被 Sentinel Labs 分析師認為是 Kimsuky 的“BabyShark”惡意軟件的演變，APT43也部署了該惡意軟件，APT43是一個針對美國組織的重疊朝鮮網絡間諜組織。

ReconShark 濫用 WMI 收集有關受感染系統的信息，如正在運行的進程、電池數據等。

它還檢查機器上是否運行安全軟件，Sentinel Labs 提到了針對 Kaspersky、Malwarebytes、Trend Micro 和 Norton Security 產品的特定檢查。

檢查安全工具進程（Sentinel Labs）

偵察數據的泄露是直接的，惡意軟件通過 HTTP POST 請求將所有內容發送到 C2 服務器，而不在本地存儲任何內容。

“ReconShark泄露有價值信息的能力，例如已部署的檢測機制和硬件信息，表明 ReconShark 是 Kimsuky 精心策劃的偵察行動的一部分，該行動可實現后續精確攻擊，可能涉及專門為逃避防御和利用平臺弱點而定制的惡意軟件。”Sentinel One 警告說。

ReconShark 的另一個功能是從 C2 獲取額外的有效載荷，這可以讓 Kimsuky 在受感染的系統上更好地立足。

Sentinel Labs 報告中寫道，“除了竊取信息外，ReconShark 還以多階段方式部署更多有效載荷，這些有效載荷以腳本（VBS、HTA 和 Windows Batch）、啟用宏的 Microsoft Office 模板或 Windows DLL 文件的形式實現。ReconShark 根據在受感染機器上運行的檢測機制進程來決定部署哪些有效負載。”

有效載荷部署階段涉及編輯與 Chrome、Outlook、Firefox 或 Edge 等流行應用程序關聯的 Windows 快捷方式文件 (LNK)，以便在用戶啟動這些應用程序之一時執行惡意軟件。

ReconShark 編輯快捷方式文件(Sentinel Labs)

另一種方法是將默認的 Microsoft Office 模板 Normal.dotm 替換為托管在 C2 服務器上的惡意版本，以便在用戶啟動 Microsoft Word 時加載惡意代碼。

加載惡意 Office 模板(Sentinel Labs)

這兩種技術都提供了一種隱蔽的方式來更深入地滲透到目標系統中，保持持久性，并作為威脅參與者多階段攻擊的一部分執行額外的有效負載或命令。

Kimsuky的復雜程度和變形策略要求提高警惕，并模糊其行動與開展更廣泛活動的其他朝鮮團體的界限。