朝鲜黑客发现了一系列盗取证件活动的幕后黑手

一名与朝鲜有联系的威胁行为人与针对研究、教育、政府、媒体和其他组织的大量凭证盗窃活动有关，其中两起袭击还试图传播可用于情报收集的恶意软件。

企业安全公司Proofpoint将此次渗透归因于其追踪的TA406集团，以及更广泛的威胁情报团体，其绰号为Kimsuky（卡巴斯基）、Velvet Chollima（CrowdStrike）、Thllium（微软）、Black Banshee（普华永道）、ITG16（IBM）和Konni group（思科Talos）。

政策专家、新闻工作者和非政府组织（NGO）是一月至2021年6月之间每周活动的一部分，在美国《技术报告》中详细介绍了演员的战术、技术和程序（TTPS），随着袭击蔓延到北美、俄罗斯、中国和韩国。

Kimsuky早在2012年就开始运作，此后成为最活跃的高级持久性威胁（APT）组织之一，该组织以关注网络间谍活动而闻名，但也以进行针对政府实体、智囊团、，以及被确认为各个领域专家的个人，以及获取与外交政策和国家安全问题有关的敏感信息。

卡巴斯基研究者在上个月发布的Q3 2021 APT趋势报告中指出：“和其他构成大伞的APT组一样，Kimsuky包含了几个集群：BabyShark、苹果籽、花卉能源和金龙。”被应用的子组也称为TA408。

The group is also known for reeling in targets with convincing social engineering schemes and watering hole attacks before sending them malware-infected payloads or tricking them into submitting sensitive credentials to phishing sites, the U.S. Cybersecurity and Infrastructure Security Agency (CISA) said in a public alert issued in October 2020.

本月早些时候，思科塔洛斯公司的研究人员从2021年6月开始，在谷歌博客平台上利用恶意博客，瞄准了高价值的韩国目标，包括地缘政治和航空研究机构，公开了一项持续的KimSupe战役。目标是提供一套“源自金龙/勇敢王子家族的不断进化的植入物”，充当文件过滤、信息收集和凭证窃取者，用于侦察、间谍活动和凭证获取。

塔洛斯的研究人员解释说：“这项活动始于向受害者发送包含宏的恶意Microsoft Office文档（maldocs）。”。“感染链导致恶意软件接触到攻击者设置的恶意博客。这些博客使攻击者能够根据受害者是否对攻击者有价值来更新博客中发布的恶意内容。”

现在，在似乎进一步升级的攻击中，威胁行动方同时开始了近每周使用合法政策专家身份的电子邮件威胁活动，同时以核武器安全、政治和韩国外交政策为主题，最终，通过嵌入在消息中的恶意URL，诱使目标个人放弃其公司凭证，从而将受害者重定向到自定义凭证获取页面。

Kimsuky的钓鱼活动在2021年3月发生了明显的变化，当电子邮件超越凭证盗窃而成为分发恶意软件的媒介时，恰逢朝鲜在那个月晚些时候进行的导弹测试。

这些电子邮件中包含一个链接，该链接将目标发送到攻击者控制的域，该域用于诱骗目标下载包含二进制文件的压缩归档文件，该文件被编排为创建一个计划任务，该任务每15分钟执行一次，以从远程服务器安装其他恶意软件。然而，由于没有观察到后续有效载荷，袭击背后的最终动机仍不清楚。

6月的另一次值得注意的攻击导致使用HTML附件诱饵部署了一个下载程序（“胖子”），然后用来检索下一阶段的侦察脚本，该脚本能够收集有关目标设备的“广泛信息”。Proofpoint表示，这两次行动都与之前确认的科尼集团发动的袭击有重叠。

其恶意软件库中的其他著名工具包括一个名为YoreKey的Windows键盘记录器、一些攻击韩国加密货币用户的恶意Android应用程序、一个名为Deioncube的DeobFousation服务，用于解码用ionCube的源代码保护软件加密的文件，以及一个性侵犯骗局，该骗局敦促电子邮件收件人将价值500美元的比特币转移到与一家韩国非政府组织有关的有效钱包中。

研究人员说：“目前尚不清楚该非政府组织是否遭到了破坏，捐赠信息是否被恶意放在了他们的网站上，或者是否有其他解释。”。“截至2021年6月，相关联的比特币钱包已经收到并发送了大约3.77比特币。”