卡巴斯基發現了針對韓國政客和外交官的朝鮮黑客組織Kimusky

據悉，朝鮮民族國家組織 Kimusky 在2022年與初針對韓國的一系列新的惡意活動有關。

卡巴斯基將集群代號為GoldDragon，感染鏈導致 Windows 惡意軟件的部署，這些惡意軟件旨在文件列表、用戶擊鍵和存儲的 Web 瀏覽器登錄憑據。

潛在受害者包括韓國大學教授、智庫研究人員和政府官員。

Kimsuky，也被稱為 Black Banshee、Thallium 和 Velvet Chollima，是朝鮮多產的高級持續威脅 (APT) 組織的名稱，該組織以全球實體為目標，但主要關注韓國，以獲取有關各種政權情報。

該組織自 2012 年以來一直在運營，主要使用社會工程策略、魚叉式網絡釣魚和水坑攻擊來從受害者那里竊取所需信息的歷史。

上個月末，網絡安全公司 Volexity 歸咎于一項情報收集任務，該任務旨在通過名為 Sharpext 的惡意 Chrome 瀏覽器擴展程序從 Gmail 和 AOL 中竊取電子郵件內容。

最新的活動遵循類似的作案手法，其中攻擊序列是通過包含宏嵌入 Microsoft Word 文檔的魚叉式網絡釣魚消息發起的，據稱這些文檔包含與該地區政治問題相關的內容。

據說替代的初始訪問路線也利用 HTML 應用程序 (HTA) 和編譯的 HTML 幫助 (CHM) 文件作為誘餌來破壞系統。

無論使用哪種方法，初始訪問之后都會從遠程服務器中刪除一個 Visual Basic 腳本，該腳本被編排為對機器進行指紋識別并檢索其他有效負載，包括能夠泄露敏感信息的可執行文件。

該攻擊的新穎之處在于，如果收件人單擊電子郵件中的鏈接以下載其他文檔，則受害者的電子郵件地址會傳輸到命令和控制 (C2) 服務器。如果請求不包含預期的電子郵件地址，則返回良性文檔。

為了使殺傷鏈更加復雜，第一階段的 C2 服務器將受害者的 IP 地址轉發到另一個 VBS 服務器，然后將其與目標打開誘餌文檔后生成的傳入請求進行比較。

兩臺 C2 服務器中的“受害者驗證方法”確保僅在 IP 地址檢查成功時才交付 VBScript，表明該方法具有高度針對性。

卡巴斯基研究員 Seongsu Park 說：“Kimsuky 組織不斷改進其惡意軟件感染方案，并采用新技術來阻礙分析，追蹤這個群體的主要困難是很難獲得完整的感染鏈。”