由於地緣政治的因素,北韓駭客對韓國發動攻擊的情況不時傳出,最近接連有兩組研究人員不約而同揭露相關攻擊行動,透露出這類威脅態勢加劇的現象。
微軟、資安業者Securonix針對近期1組北韓駭客的攻擊行動提出警告,該組織有多種稱號,例如:Kimsuky、APT43、Emerald Sleet、TA427、Velvet Chollima,這些攻擊行動的共通點在於,駭客都使用了PowerShell命令散布惡意程式的有效酬載,而且都是針對韓國的企業組織與政府機關而來。
12日微軟表示,今年1月看到這些駭客鎖定一定數量的目標從事網釣攻擊,看到這些駭客鎖定一定數量的目標從事網釣攻擊,假借使用者註冊裝置為由,要求使用管理員權限執行PowerShell,並複製、貼上特定的程式碼並執行。
這些駭客聲稱是韓國政府官員,向目標人士建立關係,然後寄送挾帶PDF檔案的釣魚郵件,要求註冊裝置。
一旦收信人依照文件內容指示操作,就會以管理員權限打開PowerShell,並執行特定程式碼,從而在電腦部署以瀏覽器為基礎打造的遠端桌面工具,並透過特定的PIN碼下載憑證,將受害電腦向遠端伺服器進行註冊。
而對於這些駭客的目的,主要是建立能從受害者的電腦竊取資料的管道。
無獨有偶,13日Securonix也揭露持續針對韓國企業、政府機關、加密貨幣持有人的攻擊行動Deep#Drive,Kimsuky以工作日誌、保險文件、加密貨幣相關資料為誘餌,寄送以韓文書寫的釣魚信,駭客挾帶HWP、XLSX、PPTX等當地辦公室軟體常見格式的檔案,並利用Dropbox等常見的公有雲平臺代管有效酬載,而能成功迴避一般的安全防禦機制。
Securonix威脅研究員Den Iuzvyk、Tim Peck指出,這些駭客重度依賴PowerShell指令碼傳送有效酬載、偵察,以及執行惡意軟體,關鍵要素就是透過Dropbox傳遞有效酬載並外傳受害電腦的系統資料。
附帶一提,研究人員發現相關的Dropbox連結快速遭到撤下,代表這些駭客使用的基礎設施存在的時間相當短,使得防守方更難進行相關防禦。而這樣的戰術、手法、程序(TTP),與Kimsuky相當接近,因此Securonix也以此認定這起攻擊行動就是這些駭客所為。
針對攻擊行動發生的過程,Securonix指出可從偽裝成合法文件檔案的Windows捷徑檔(LNK)開始,一旦執行就會建立名為ChromeUpdateTaskMachine的工作排程,目的是確保惡意指令碼能每隔一段時間就執行。
接著,攻擊者透過PowerShell指令碼收集系統資訊,包括IP位址、作業系統資訊、正在執行的處理程序、部署的防毒軟體,並傳送到Dropbox。
然後他們執行另一個指令碼,下載、更改並解壓縮Gzip壓縮檔,並將.NET元件載入記憶體,執行下個階段的有效酬載。
駭客存取Dropbox的方法也相當特別,是透過OAuth的Token完成身分驗證,然後與API進行互動,這麼做能夠無縫地外流相關偵察資料。Securonix研究團隊從攻擊者的PowerShell程式碼找到了相關的OAuth token,結果發現,駭客很可能從去年9月就開始相關活動。
熱門新聞
2025-02-17
2025-02-17
2025-02-17
2024-11-05
2025-02-18
2025-02-18