北韓駭客假冒記者和學者收集情報
近日資安研究人員警告北韓政府支援的駭客正在假冒記者和學者,以收集戰略情報,並幫助指導該國的決策制定。據 SentinelLabs 的研究人員透露,他們將一項社交工程攻擊行動與被稱為 Kimsuky 的北韓先進威脅(APT)組織聯絡在一起。Kimsuky 也被稱為 APT43、Thallium 和 Black Banshee,自 2012 年以來一直活躍,以社交工程攻擊和針對特定人員的釣魚郵件為名,為北韓政權收集敏感訊息。
社交工程攻擊行動
Kimsuky 的最新社交工程攻擊行動針對的是美國的 NK News 網站訂閱者。SentinelLabs 觀察到 Kimsuky 假冒 NK News 的創始人 Chad O’Carroll,向 NK News 的訂閱者傳送了一個偽造的 Google Docs 網頁連結,該連結導向一個特製的惡意網站,可以監視受害者的 Google 憑證。在某些情況下,Kimsuky 駭客還傳送了一份裝有 ReconShark 惡意軟體的武器化 Microsoft Office 檔案,這種惡意軟體可以滲透訊息,例如裝置上的檢測機制以及有關裝置本身的訊息。SentinelLabs 觀察到的另一種攻擊方式是,假冒 NK News 的訂閱服務,進一步勾引受害者提供他們 NK News 的憑證。
教育和意識是對抗社交工程攻擊的第一道防線
如果 Kimsuky 駭客入侵了 NK News 的使用者憑證,這將為北韓駭客提供“有價值的見解,理解國際社會如何評估和解讀與朝鮮相關的發展,從而作出更廣泛的戰略情報收集計劃”,SentinelLabs 高級威脅研究員 Aleksandar Milenkosi 寫道。此外 Kimsuky 也透過傳送沒有惡意軟體的 Google Docs 連結和 Word 檔案來發展與受害者的關係,以便在開始進行惡意活動之前建立關係。
北韓駭客攻擊引起關注
SentinelLabs 的分析結果出爐之後,美國和南韓政府發布了警告:Kimsuky 一直在進行有針對性的騙取帳號攻擊,以透過假冒記者、學者、智庫研究員和政府官員的身份,針對在朝鮮問題上工作的人員,以此獲取有價值的地緣政治見解和其他被盜的資料,提供北韓政府的支援。“這些駭客正在策略性地冒充合法渠道,以收集與朝鮮半島有關的地緣政治事件、外交政策戰略和安全發展的情報”,國家安全域性(NSA)的資訊安全總監羅布·喬伊斯(Rob Joyce)表示。此外南韓外交部還對 Kimsuky 進行了制裁,並確認了該組織使用的兩個加密貨幣位址。政府還指責該組織參與了上週失敗的間諜衛星發射行動。
保護措施
教育和意識是對抗社交工程攻擊的第一道防線。確保工作和個人電腦上的安全更新和漏洞修補也是很重要的,不要輕信不知名的發件人,也不要點選來自陌生人或可疑來源的連結或附件。 如果您收到可疑郵件,請通知您的安全團隊或報告該郵件。值得注意的是,定期進行資安培訓,並提醒員工路上上網和社交工程攻擊的危險,也是減少受害風險的好方法。
資安風險不斷增加,必須警覺並加固自我防衛措施,切勿輕易泄露敏感訊息給不明身份或不明來源的人,以避免產生不良後果。
延伸閱讀
- Change Healthcare 駭客使用被盜憑證入侵 - 聯合健康集團 CEO 表示沒有多重因素認證
- 前美國國家安全域性駭客與前蘋果研究員合力成立新創公司,保護蘋果裝置
- 聯合健康稱駭客竊取健康資料:影響美國大部分人口
- 《Apex Legends 駭客稱遊戲開發者修補了直播主使用的漏洞》
- 烏克蘭網路警察如何對抗俄羅斯駭客
- 美國智庫傳統基金會遭受網路攻擊
- 《Apex Legends 駭客自稱「只是為了好玩」竊取錦標賽遊戲》
- 寶可夢因駭客嘗試後重設一些使用者密碼
- 美國國家安全域性表示正在追蹤 Ivanti 網路攻擊,駭客瞄準美國國防領域
- 英國水務巨擘 Southern Water 稱駭客竊取數十萬客戶個人資料
