北京
網絡安全公司LogPresso披露,朝鮮背景的黑客組織Kimsuky在2025年上半年發起了四輪魚叉式網絡釣魚攻擊,目標涵蓋企業招聘人員、加密貨幣投資者與開發者、國防部門官員以及研究生院管理人員。該組織以網絡間諜活動著稱,與朝鮮民主主義人民共和國存在關聯。
四輪攻擊采用不同偽裝主題,但技術路徑高度一致:誘騙目標打開文件,進而靜默控制其計算機。招聘人員收到的是虛假簡歷和名片;加密貨幣用戶被Solana模因幣相關內容吸引;國防官員收到的是"K-ICTC國際科學作戰管理競賽"相關文件;研究生院工作人員則收到看似正規的入學文件。LogPresso分析師指出,所有四起活動的核心目標完全一致:在不引起警覺的前提下建立系統立足點。
攻擊流程呈現標準化特征。LogPresso報告顯示,四起活動遵循相同的攻擊鏈條:先展示誘餌文檔分散注意力,同時靜默投放惡意載荷,隨后建立持久化機制,最終搭建遠程控制通道。各輪次的主要區別在于誘餌主題、入口方式和命令控制基礎設施。
攻擊者在通信偽裝上表現出明顯 sophistication。他們沒有使用可疑的私有服務器,而是將流量路由至GitHub raw API、微軟CDN、VSCode隧道等可信平臺,使惡意流量與正常活動難以區分,增加了基于信譽的安全工具檢測難度。目標識別環節同樣精細化,受害者通過唯一ID、IP地址和MAC地址進行追蹤定位。
防御規避是四起活動的共同特征。LogPresso發現,從受害者打開誘餌文件開始計算,五分鐘內惡意軟件即完成多項操作:禁用Windows用戶賬戶控制(UAC)、注冊Defender例外、嵌入任務計劃程序以實現重啟存活。這種速度極大壓縮了人工發現的時間窗口。
技術實現上,三輪攻擊依賴偽裝成PDF的LNK文件。受害者打開后,兩個隱藏載荷分離執行:一部分展示逼真的誘餌文檔維持欺騙,另一部分將次級LNK文件寫入Windows啟動文件夾建立持久化,隨后從攻擊者服務器下載并執行PowerShell腳本。整個過程在五分鐘內完成。
第四輪攻擊采用不同技術路徑,使用雙擴展名JSE文件(格式為.hwpx.jse)。由于Windows默認隱藏已知擴展名,受害者看到的僅為.hwpx后綴,誤以為是韓國辦公軟件Hangul的文檔格式。該JSE文件執行后釋放偽裝成PDF的LNK載荷,后續鏈條與前三輪一致。
LogPresso在報告中強調,基于單一入侵指標(IoC)的攔截存在明顯局限,防御方需要覆蓋完整攻擊鏈的行為檢測能力。四起活動的誘餌主題差異顯著,但底層技術架構和操作流程的同質性表明,Kimsuky已形成可快速復用的攻擊模板,能夠針對不同行業目標進行主題定制。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
