在2025年6月,網絡安全社區受到震動。臭名昭著的朝鮮黑客組織Kimsuky APT的一名成員成爲了一次大規模數據泄露的受害者,泄露了數百GB的敏感內部文件、工具和操作細節。
根據Slow Mist的安全專家,泄露的數據包括瀏覽器歷史記錄、詳細的釣魚活動日誌、自定義後門和攻擊系統(如TomCat內核後門)的手冊、修改後的Cobalt Strike信標、Ivanti RootRot漏洞以及Toybox等Android惡意軟件。
兩個受損系統和黑客“KIM”
該泄露事件與一個被稱爲“KIM”的個人操作的兩個受損系統有關——一個是Linux開發工作站(Deepin 20.9),另一個是公開可訪問的VPS服務器。
Linux系統可能用於惡意軟件開發,而VPS託管了釣魚材料、假登錄門戶和指揮與控制(C2)基礎設施。
該泄露事件是由自稱爲“Saber”和“cyb0rg”的黑客實施的,他們聲稱竊取併發布了兩個系統的內容。雖然一些證據將“KIM”與已知的Kimsuky基礎設施聯繫在一起,但語言和技術指標也暗示可能存在中國聯繫,導致真正來源不確定。
網絡間諜活動的悠久歷史
Kimsuky自2012年以來一直活躍,並與朝鮮主要情報機構——偵察總局有關。它長期以來專注於針對政府、智庫、國防承包商和學術界的網絡間諜活動。
在2025年,其活動——如DEEP#DRIVE——依賴於多階段攻擊鏈。它們通常以包含僞裝爲文檔的LNK快捷文件的ZIP檔案開始,打開後執行PowerShell命令以從Dropbox等雲服務下載惡意負載,使用誘餌文檔看起來合法。
先進的技術和工具
在2025年春季,Kimsuky在ZIP檔案中部署了VBScript和PowerShell的混合:
記錄按鍵
竊取剪貼板數據
從瀏覽器(Chrome、Edge、Firefox、Naver Whale)中收集加密貨幣錢包密鑰
攻擊者還將惡意LNK文件與執行mshta.exe的VBScripts配對,以直接將基於DLL的惡意軟件加載到內存中。他們使用自定義RDP Wrapper模塊和代理惡意軟件來實現隱祕的遠程訪問。
像forceCopy這樣的程序從瀏覽器配置文件中提取憑據,而不會觸發標準密碼訪問警報。
利用受信任的平臺
Kimsuky濫用流行的雲和代碼託管平臺。在2025年6月針對韓國的網絡釣魚活動中,私人GitHub倉庫被用來存儲惡意軟件和被盜數據。
通過通過Dropbox和GitHub傳送惡意軟件和外泄文件,該組織能夠在合法的網絡流量中隱藏其活動。
#NorthKoreaHackers , #cyberattacks , #CyberSecurity , #phishingscam , #worldnews
保持領先一步——關注我們的資料,隨時瞭解加密貨幣世界中的一切重要信息!
注意:
,本文中呈現的信息和觀點僅供教育目的,不應在任何情況下視爲投資建議。這些頁面的內容不應被視爲財務、投資或任何其他形式的建議。我們警告說,投資加密貨幣可能存在風險,並可能導致財務損失。“