Stark#Mule 恶意软件活动针对韩国人,使用美国陆军文件

Stark#Mule 恶意软件活动针对韩国人,使用美国陆军文件

时间戳:28 年 2023 月 4 日下午 30:XNUMX
Stark#Mule 恶意软件活动针对韩国人,使用美国陆军文档 PlatoBlockchain 数据情报。垂直搜索。人工智能。

名为 Stark#Mule 的韩语恶意软件活动利用美国军队征兵文件作为诱饵来瞄准受害者,然后运行来自合法但遭到入侵的韩国电子商务网站的恶意软件。

安全公司 Securonix 发现了 Stark#Mule 攻击活动,称该活动允许威胁行为者在正常网站流量中伪装自己。

该活动似乎针对韩国境内讲韩语的受害者,这表明攻击可能来自邻国朝鲜。

使用的策略之一是发送用韩语编写的有针对性的网络钓鱼电子邮件,这些电子邮件会在 zip 存档中放置看似合法的文档,其中引用了美国陆军的招募和 人力及储备事务 文档中包含的资源。

攻击者建立了一个复杂的系统,允许他们冒充合法网站访问者,从而很难检测到他们何时传输恶意软件并接管受害者的计算机。

他们还使用欺骗性材料,声称提供有关美国陆军和征兵的信息,就像蜜罐一样。

通过欺骗接收者打开文档,病毒就会无意中被执行。 最后一个阶段涉及一种困难的感染,它通过 HTTP 进行通信并将自身嵌入到受害者的计算机中,使得查找和删除变得困难。

Tanium 欧洲、中东和非洲地区首席安全顾问扎克·沃伦 (Zac Warren) 表示:“他们似乎针对的是特定群体,这表明他们的行动可能与朝鲜有关,重点是说韩语的受害者。” “这增加了国家支持的网络攻击或间谍活动的可能性。”

Stark#Mule 还可能已经掌握了可能的零日漏洞或至少是已知 Microsoft Office 漏洞的变体,从而使威胁行为者只需让目标用户打开附件即可在目标系统上站稳脚跟。

Securonix 网络安全威胁研究副总裁奥列格·科列斯尼科夫 (Oleg Kolesnikov) 表示,根据之前的经验和他看到的一些当前指标,威胁很可能来自朝鲜。

“然而,最终归属的工作仍在进行中,”他说。 “它引人注目的原因之一是试图利用与美国军事相关的文件来引诱受害者,以及运行来自合法、受感染的韩国网站的恶意软件。”

他补充说,Securonix 对攻击链复杂程度的评估为中等,并指出这些攻击与典型朝鲜组织过去的活动一致,例如 APT37,以韩国及其政府官员为首要目标。

“最初的恶意软件部署方法相对简单,”他说。 “观察到的后续有效负载似乎相当独特,并且相对容易混淆。”

沃伦表示,由于其先进的方法、狡猾的策略、精确的目标、可疑的国家参与以及困难的病毒持久性,Stark#Mule“绝对意义重大”。

通过社会工程取得成功

Qualys 威胁研究经理 Mayuresh Dani 指出,绕过系统控制、通过与合法电子商务流量混合进行规避以及获得对指定目标的完全控制,同时保持不被发现,所有这些都使这种威胁值得注意。 

“社会工程一直是攻击链中最容易的目标。 当你把政治竞争和好奇心结合起来时,你就有了一个完美的妥协方案,”他说。

Vulcan Cyber​​ 的高级技术工程师 Mike Parkin 认为成功的社会工程攻击需要良好的钩子。

“在这里,威胁行为者似乎成功地创造了足够有趣的主题,让他们的目标上钩,”他说。 “它显示了攻击者对其目标的了解,以及可能激起他们兴趣的内容。”

他补充说,朝鲜是众所周知模糊网络战、网络间谍和网络犯罪活动之间界限的几个国家之一。

帕金说:“考虑到地缘政治局势,此类袭击是他们猛烈攻击以推进其政治议程的一种方式,而且不会面临升级为实际战争的严重风险。” 

网络战在分裂的国家肆虐

朝鲜和韩国自分离以来一直处于争执之中——任何能让对方占上风的信息总是受欢迎的。

目前,朝鲜正在通过测试弹道导弹来加强对现实世界的进攻,并且它也在尝试做同样的事情 在数字世界.

“因此,虽然攻击的起源是相关的,但网络安全工作应侧重于整体威胁检测、响应准备情况以及实施最佳实践,以防范各种潜在威胁,无论其来源如何,”丹尼说。 

在他看来,美国军方将与其伙伴国家合作,包括其他政府机构、国际盟友和私营部门组织,分享与 Stark#Mule 相关的威胁情报和可能的补救行动。

他指出:“这种协作方法将加强整体网络安全工作,对于促进网络安全方面的国际合作至关重要。” “信息技术使其他国家和组织能够加强防御并为潜在的攻击做好准备,从而在全球范围内对网络威胁做出更协调的反应。”

朝鲜国家资助的 Lazarus 高级持续威胁 (APT) 组织卷土重来 又一起冒充骗局,这一次冒充拥有合法 GitHub 或社交媒体帐户的开发人员或招聘人员。

时间戳记:

更多来自 暗读