研究人员发现针对韩国政府实体的黑客行动

一名自2012年以来活跃的朝鲜威胁分子一直在幕后发起一场新的间谍活动，目标是与韩国官员有关联的知名政府官员，目的是安装一个Android和Windows后门，以收集敏感信息。

网络安全公司Malwarebytes将该活动归因于一个追踪到的名为Kimsuky的威胁者，目标实体包括外交部、斯里兰卡驻该国大使馆大使、国际原子能机构(IAEA)核安全官员、以及韩国驻香港总领事馆副总领事。

这些攻击还涉及收集韩国其他机构和大学的信息，包括韩国互联网和安全局(KISA)、首尔国立大学和大信证券。然而，Malwarebytes指出，没有证据表明对手主动瞄准或妥协。

这只是一系列针对韩国的监视行动的最新进展。Kimsuky(又名Velvet Chollima、Black Banshee和铊)据信是代表朝鲜政权运作的，有记录指出韩国实体，并将其受害者范围扩大到美国、俄罗斯和欧洲的多个国家。

去年11月,敌人是与一个新的模块化的间谍软件套件叫做“KGH_SPY”,它允许它进行侦察的目标网络,记录击键,窃取机密信息,以及一个隐形的恶意软件的名字“CSPY下载”这是为了打击分析和下载额外的载荷。

Kimsuky的攻击基础设施由模仿Gmail、Microsoft Outlook和Telegram等知名网站的各种钓鱼网站组成，目的是诱骗受害者输入他们的证书。Malwarebytes研究员Hossein Jazi说:“这是这名参与者收集电子邮件地址的主要方法之一，这些地址之后将被用来发送鱼叉式钓鱼电子邮件。”

使用社交工程作为其业务的核心组成部分,目标是分发恶意软件滴管采用某种形式的一个ZIP归档文件附加到电子邮件,最终导致编码的部署DLL载荷称为AppleSeed的后门被Kimsuky早在2019年投入使用。

“除了利用AppleSeed的后门针对Windows用户，这位演员还利用Android的后门针对Android用户，”贾兹指出。“Android的后门可以看作是AppleSeed的移动版后门。它使用与Windows相同的命令模式。此外，Android和Windows的后门都使用了相同的基础设施。”

苹果子的所有特征典型的后门,与无数的功能来记录击键,捕捉截图,收集与特定的扩展名的文档(. txt, ppt, .hwp . pdf, . doc),和收集数据从可移动介质设备连接到机器上时,所有的然后上传到远程指挥和控制服务器。

但也许最有趣的发现是，这个威胁行当在恶意软件源代码中自称铊(铊)，这是微软根据其以化学元素命名国家黑客组织的传统，给他们起的名字。