北韩高级持续威胁行动

文章重点

• 北韩黑客组织 Kimsuky 使用 KLogEXE 和 FPSpy 恶意软件攻击南韩和日本的组织。
• 攻击手法包括钓鱼邮件和 ZIP 文件下载，相关文件源代码存在相似性。
• KLogEXE 的功能包括应用数据窃取和键盘记录，而 FPSpy 则可进行系统数据收集和指令执行。

根据 的报导，北韩的高级持续威胁组织 Kimsuky（也称为 APT43、BlackBanshee、ARCHIPELAGO、Springtail、Sparkling Pisces、Emerald Sleet 和 VelvetChollima）在攻击中利用了新型的 KLogEXE 和 FPSpy 恶意软件。这些攻击主要针对位于南韩和日本的机构。

根据 Palo Alto Networks Unit 42 的分析，Kimsuky 的入侵事件涉及了发送钓鱼邮件，诱使受害者下载 ZIP文件，并提取恶意文件以便部署有效载荷。由于源代码之间存在相似性，推测这些恶意软件可能出自同一作者。Unit 42 的研究人员报告指出，KLogEXE支援应用数据的窃取、键盘记录和滑鼠点击监控，而 FPSpy 则可进行系统数据收集、执行额外的有效载荷、任意命令执行和文件枚举。

Unit 42 的威胁研究主任 Assaf Dahan表示：“由于这些攻击的性质被认为是有针对性和精心挑选，因此我们评估这些攻击不太可能广泛扩散，而是限于一些特定国家（主要是日本和南韩）和少数行业。”

参考资讯

Kimsuky 对于南韩和日本的攻击行动表明，网络安全威胁正越来越具针对性，这需要这些国家的组织加强防范和应对措施。