隐秘的间谍:朝鲜黑客如何利用GitHub攻击各国使馆
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
Trellix高级研究中心揭示朝鲜黑客组织针对韩国外交机构的间谍活动,利用钓鱼攻击和合法平台如GitHub进行数据窃取。攻击者伪装成可信联系人,通过恶意邮件感染受害者设备,窃取敏感信息,显示出高度的诱饵设计和隐蔽性。
🎯
关键要点
- Trellix高级研究中心揭露朝鲜黑客组织针对韩国外交机构的间谍活动。
- 攻击者利用钓鱼攻击和合法平台如GitHub进行数据窃取。
- 从2025年3月至7月,朝鲜相关威胁行为体发起至少19次鱼叉式钓鱼攻击。
- 攻击者伪装成可信外交联系人,通过恶意邮件感染受害者设备。
- 恶意邮件包含伪装成PDF的快捷方式文件,感染链通过PowerShell脚本执行。
- 最终有效载荷是XenoRAT变种,能够记录键盘输入和窃取敏感信息。
- 钓鱼内容与现实世界事件同步,增加了可信度,制作了至少54份独特的诱饵文档。
- 窃取的数据通过GitHub API外传,伪装成正常的HTTPS流量。
- 证据表明这些活动与朝鲜间谍组织Kimsuky(APT43)有关,属于朝鲜的间谍活动。
❓
延伸问答
朝鲜黑客组织是如何利用GitHub进行间谍活动的?
朝鲜黑客组织利用GitHub作为隐蔽的命令与控制通道,通过伪装成合法开发者的方式进行数据窃取。
这次间谍活动的主要目标是什么?
主要目标是韩国境内的外交机构,攻击者针对全球使馆发起了至少19次鱼叉式钓鱼攻击。
攻击者使用了哪些钓鱼手段?
攻击者通过伪装成可信外交联系人发送恶意邮件,诱骗受害者打开包含恶意文件的附件。
恶意软件的功能是什么?
恶意软件XenoRAT能够记录键盘输入、截取屏幕截图、访问摄像头和麦克风,并窃取敏感信息。
攻击者如何确保钓鱼内容的可信度?
攻击者制作的钓鱼内容与现实世界事件同步,增加了诱饵的可信度,制作了至少54份独特的诱饵文档。
这次间谍活动与哪个组织有关?
证据表明这些活动与朝鲜间谍组织Kimsuky(APT43)有关。
➡️
