朝鲜黑客用新版侦察软件布局全球网络间谍

据观察,朝鲜 Kimsuky 黑客组织在全球范围的网络间谍活动中使用了新版本的侦察恶意软件,现在称为“ReconShark”。

Sentinel Labs 报告称,威胁行为者扩大了目标范围,现在瞄准美国、欧洲和亚洲的政府组织、研究中心、大学和智库。

2023年3月,韩国和德国当局警告说,Kimsuky(也称为 Thallium 和 Velvet Chollima)开始传播针对 Gmail 帐户的恶意 Chrome 扩展程序和充当远程访问木马的 Android 间谍软件。

此前,在 2022 年 8 月,卡巴斯基披露了另一项针对韩国政治家、外交官、大学教授和记者的 Kimsuky 活动,该活动使用多阶段目标验证方案,确保只有有效目标才会感染恶意负载。

钓鱼攻击

在Microsoft默认禁用下载的Office文档的宏后,大多数威胁参与者在网络钓鱼攻击中切换到新的文件类型,例如ISO文件和最近的OneNote文档。

Sentinel Labs 的高级威胁研究员Tom Hegel说:“攻击者可能希望轻松战胜过时版本的Office,或者只是希望用户启用宏。Kimsuky在这里并没有太多创新——特别是因为他们仍在发展 BabyShark 恶意软件系列。”

Kimsuky 攻击中使用的恶意文档(Sentinel Labs)

Microsoft在默认情况下对下载的 Office 文档禁用宏后,大多数威胁参与者转而使用新的文件类型进行网络钓鱼攻击,例如ISO文件,以及最近的OneNote文档。

Sentinel Labs 的高级威胁研究员 Tom Hegel 说:“攻击者可能希望轻松战胜过时版本的 Office,或者只是希望用户启用宏。Kimsuky 在这里并没有太多创新——特别是因为他们仍在发展 BabyShark 恶意软件系列。”

侦察鲨鱼

ReconShark 被 Sentinel Labs 分析师认为是 Kimsuky 的“BabyShark”恶意软件的演变,APT43也部署了该恶意软件,APT43是一个针对美国组织的重叠朝鲜网络间谍组织。

ReconShark 滥用 WMI 收集有关受感染系统的信息,如正在运行的进程、电池数据等。

它还检查机器上是否运行安全软件,Sentinel Labs 提到了针对 Kaspersky、Malwarebytes、Trend Micro 和 Norton Security 产品的特定检查。

检查安全工具进程(Sentinel Labs)

侦察数据的泄露是直接的,恶意软件通过 HTTP POST 请求将所有内容发送到 C2 服务器,而不在本地存储任何内容。

“ReconShark泄露有价值信息的能力,例如已部署的检测机制和硬件信息,表明 ReconShark 是 Kimsuky 精心策划的侦察行动的一部分,该行动可实现后续精确攻击,可能涉及专门为逃避防御和利用平台弱点而定制的恶意软件。”Sentinel One 警告说。

ReconShark 的另一个功能是从 C2 获取额外的有效载荷,这可以让 Kimsuky 在受感染的系统上更好地立足。

Sentinel Labs 报告中写道,“除了窃取信息外,ReconShark 还以多阶段方式部署更多有效载荷,这些有效载荷以脚本(VBS、HTA 和 Windows Batch)、启用宏的 Microsoft Office 模板或 Windows DLL 文件的形式实现。ReconShark 根据在受感染机器上运行的检测机制进程来决定部署哪些有效负载。”

有效载荷部署阶段涉及编辑与 Chrome、Outlook、Firefox 或 Edge 等流行应用程序关联的 Windows 快捷方式文件 (LNK),以便在用户启动这些应用程序之一时执行恶意软件。

ReconShark 编辑快捷方式文件(Sentinel Labs)

另一种方法是将默认的 Microsoft Office 模板 Normal.dotm 替换为托管在 C2 服务器上的恶意版本,以便在用户启动 Microsoft Word 时加载恶意代码。

加载恶意 Office 模板(Sentinel Labs)

这两种技术都提供了一种隐蔽的方式来更深入地渗透到目标系统中,保持持久性,并作为威胁参与者多阶段攻击的一部分执行额外的有效负载或命令。

Kimsuky的复杂程度和变形策略要求提高警惕,并模糊其行动与开展更广泛活动的其他朝鲜团体的界限。

视频VIP一号通?网友:没想到危害这么大!

“谁有这个平台的会员?借我用用”

你是否曾在朋友圈见过这样的求助

如果现在有一个视频网站

花一份钱,就可享受多个平台的会员权益

你是否会觉得占了大便宜?

切勿冲动下单

你的个人信息很有可能正在泄露!

近日,浙江嘉兴警方成功破获了一起侵犯著作权、非法获取计算机信息系统数据案件,打掉了一个以从事非法影视网站服务牟利的犯罪团伙,抓获犯罪嫌疑人10人。

视频vip一号通?有这好事?

3月初,浙江嘉兴嘉善网安民警在工作中发现,一家店铺在网上出售影视会员账号。

该店铺号称收录了各个影视平台的视频资源,只要购买1个账号,即可同时享受所有平台的影视会员福利。这一奇怪的情况引起了网安民警的警觉。

经民警进一步了解发现,该短视频平台店铺提供的会员账号均需要在其指定的网站和APP内使用。

登录发现,该网站中充斥着从其他视频软件窃取的盗版影视资源,包括当下热门的院线电影以及热播网剧,有些甚至没有隐去各知名平台的水印和商标,非法牟利的目的昭然若揭。

风险巨大!蒙在鼓里的购买者

由于涉及买家人数众多,遍及全国各地,调查取证难度较高。

嘉善网安迎难而上,循线追踪,网上网下合成作战,发现自2022年12月20日注册经营以来,该店铺共计售卖订单数千笔,非法获利15万余元。

嘉善警方立即着手开展证据收集,以鹿某、胡某、郭某等人为首的犯罪团伙逐渐浮出水面。

有读者看到这里可能想问:此类行为到底有什么危害呢?

盗版行为除了给知识产权保护造成损害、破坏市场秩序外,还存在诸多安全风险,直接危害消费者的切身利益。

民警在调查中发现,该网站弹窗存在色情暴力、诱赌广告、虚假信息等有害内容。账号注册需要绑定手机,不少购买者反映注册后造成信息泄露,骚扰电话频繁。

此类网站更是电脑病毒的来源和传播者,点击不明链接很有可能使你的系统瘫痪,重要资料丢失,文件被窃取。

果断出击!全链条打击

别动!我们是嘉善网警!

3月20日,警方一举端掉了这个从事非法影视网站服务的犯罪分子窝点。

之后,嘉善公安组织警力分赴辽宁沈阳、江苏徐州抓获涉嫌侵犯著作权罪、非法获取计算机信息系统数据罪的其他犯罪嫌疑人,查扣作案手机12部、电脑5台、云服务器4台,一条完整的犯罪链条被连根拔除。

经审讯,鹿某、胡某、郭某等人对犯罪事实供认不讳。该非法店铺主要由两伙人经营,运用网络技术非法获取视频资源,为营销团队定制开发非法影视网站,从中牟取非法收益。