從朝鮮攻擊事件看間諜活動主謀間的關係

近日，有安全研究人員表示，由於最近兩個網路間諜活動中使用的釣魚郵件都很明顯地針對朝鮮相關實體，這說明，DarkHotel攻擊和這款名為「KONNI」的惡意軟體之間存在一定的聯繫。

KONNI惡意軟體

KONNI是一個存活了3年的遠程訪問木馬（RAT），該惡意軟體在過去幾年已經得到了進一步發展完善，目前，最新版本的KONNI能夠記錄擊鍵信息、竊取文件、捕獲屏幕截圖、收集受感染設備的信息並在受感染系統上執行任意代碼。

思科團隊發現多年來KONNI發動了多起攻擊活動。第一起攻擊可能發動於2014年9月份，在這次攻擊中，KONNI被設計為僅執行一次並從受感染設備中竊取信息，包括按鍵、剪貼板內容和跟Chrome、火狐和Opera網路瀏覽器相關的數據。

第二次攻擊發生在去年，也涉及一個SRC文件，不過這次它釋放的是兩個分別用英語和俄語寫成的Office文檔，內容是朝鮮跟美國之間的緊張關係，題目是「朝鮮氫彈能清除曼哈頓：宣傳喉舌」。這次攻擊利用的是架構不同的惡意軟體，能讓攻擊者上傳並下載文件以及執行任意命令。

而在今年，研究人員已經發現了兩起KONNI攻擊活動。其中一個誘騙文檔題目為「平壤電子郵件列表——2017年4月」，它包含在跟朝鮮相關的組織機構如聯合國、聯合國教科文組織和大使館工作的多名人員的郵件地址和電話號碼。另外一個誘騙文檔名稱為「內部機構列表和電話本——2017年4月」，裡面包含的是在跟朝鮮相關的機構、大使館和其它公共組織機構中工作的人員姓名和聯繫信息。

DarkHotel間諜組織

Cylance公司研究人員注意到，其中這個名為「平壤電子郵件列表——2017年4月」的釣魚文件，與Bitdefender公司研究人員發現的DarkHotel組織在最近的網路攻擊活動中所使用的文件非常相似。

Darkhotel 是一個存在了近十年的間諜組織，於2014年11月首次被卡巴斯基公司在一份報告中曝光。該組織最初主要針對亞太地區商務旅遊的公司高管，包括來自朝鮮、日本、俄羅斯、孟加拉國、泰國、台灣、中國、美國、印度、莫三比克、印度尼西亞以及泰國的首席執行官、高級副總裁、頂尖研發工程師、銷售和營銷主管等。研究發現，該組織成員可能來自韓國。

在最近的網路攻擊活動中，Bitdefender公司的研究人員發現了這一新的「DarkHotel2.0」組織，他們開始使用一種稱為「Inexsmar」的攻擊手段，對政治人物進行了針對性入侵。這種攻擊使用新的有效載荷傳遞機制而非完整的 0-day 開發技術，並以社會工程學與相對複雜的木馬混合感染其選定的受害者群體。

關聯分析

而在此次攻擊中所使用的釣魚文件與KONNI攻擊中使用的文件非常相似，只是其標題為「平壤電子郵件列表——2016年9月」，除標題存在細微差別外，文件的內容和格式完全相同。

通過進一步分析描述文件發現，它們都被命名為「平壤目錄」，且他們都是由一個名為「Divya Jacob」的人創作的。

目前，Cylance已經針對KONNI惡意軟體進行了詳細地分析，該公司的安全專家認為，由於最近安全公司和媒體的廣泛關注，該惡意軟體的開發者很可能將發布新的變體，包括更好的混淆和附加功能，還望相關人員提高警惕，做好防護工作。

本文翻譯自：http://www.securityweek.com/north-korea-campaigns-show-link-between-konni-and-darkhotel，如若轉載，請註明來源於嘶吼： http://www.4hou.com/info/news/7119.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：