网络安全公司LogPresso披露,朝鲜背景的黑客组织Kimsuky在2025年上半年发起了四轮鱼叉式网络钓鱼攻击,目标涵盖企业招聘人员、加密货币投资者与开发者、国防部门官员以及研究生院管理人员。该组织以网络间谍活动著称,与朝鲜民主主义人民共和国存在关联。
四轮攻击采用不同伪装主题,但技术路径高度一致:诱骗目标打开文件,进而静默控制其计算机。招聘人员收到的是虚假简历和名片;加密货币用户被Solana模因币相关内容吸引;国防官员收到的是"K-ICTC国际科学作战管理竞赛"相关文件;研究生院工作人员则收到看似正规的入学文件。LogPresso分析师指出,所有四起活动的核心目标完全一致:在不引起警觉的前提下建立系统立足点。
攻击流程呈现标准化特征。LogPresso报告显示,四起活动遵循相同的攻击链条:先展示诱饵文档分散注意力,同时静默投放恶意载荷,随后建立持久化机制,最终搭建远程控制通道。各轮次的主要区别在于诱饵主题、入口方式和命令控制基础设施。
攻击者在通信伪装上表现出明显 sophistication。他们没有使用可疑的私有服务器,而是将流量路由至GitHub raw API、微软CDN、VSCode隧道等可信平台,使恶意流量与正常活动难以区分,增加了基于信誉的安全工具检测难度。目标识别环节同样精细化,受害者通过唯一ID、IP地址和MAC地址进行追踪定位。
防御规避是四起活动的共同特征。LogPresso发现,从受害者打开诱饵文件开始计算,五分钟内恶意软件即完成多项操作:禁用Windows用户账户控制(UAC)、注册Defender例外、嵌入任务计划程序以实现重启存活。这种速度极大压缩了人工发现的时间窗口。
技术实现上,三轮攻击依赖伪装成PDF的LNK文件。受害者打开后,两个隐藏载荷分离执行:一部分展示逼真的诱饵文档维持欺骗,另一部分将次级LNK文件写入Windows启动文件夹建立持久化,随后从攻击者服务器下载并执行PowerShell脚本。整个过程在五分钟内完成。
第四轮攻击采用不同技术路径,使用双扩展名JSE文件(格式为.hwpx.jse)。由于Windows默认隐藏已知扩展名,受害者看到的仅为.hwpx后缀,误以为是韩国办公软件Hangul的文档格式。该JSE文件执行后释放伪装成PDF的LNK载荷,后续链条与前三轮一致。
LogPresso在报告中强调,基于单一入侵指标(IoC)的拦截存在明显局限,防御方需要覆盖完整攻击链的行为检测能力。四起活动的诱饵主题差异显著,但底层技术架构和操作流程的同质性表明,Kimsuky已形成可快速复用的攻击模板,能够针对不同行业目标进行主题定制。
热门跟贴