Kimsuky
Kimsuky是位于朝鲜的威胁组织,卡巴斯基实验室的研究人员发现了针对韩国军事智库的大规模网络间谍活动,并引用恶意代码中词语“Kimsuky”对其命名。 Kimsuky APT组织作为一个十分活动的APT组织,其针对南韩的活动次数也愈来愈多,同时该组织不断的使用hwp文件,释放诱饵文档可执行文件(scr),恶意宏文档的方式针对Windows目标进行相应的攻击,同时恶意宏文档还用于攻击MacOs目标之中。该组织与有相同背景的Lazarus组织和Konni组织有一定的相似之处。 同时该组织的载荷也由之前的PE文件载荷逐渐变为多级脚本载荷,但是其混淆的策略不够成熟,所以其对规避杀软的能力还是较弱。该组织的后门逐渐采取少落地或者不落地的方式,这在一定层面上加大了检测的难度。 该组织的攻击目标主要针对韩国政府机构、世宗研究所、韩国外交部门、韩国国防分析研究所(KIDA)、韩国统一部、北朝鲜相关研究领域。在海外情况下,联合国和朝鲜研究人员,朝鲜组织和媒体公司是主要目标,目的是收集与朝鲜有关的信息。 由于北韩的经济状况由于持续的制裁而继续恶化,攻击者似乎除了其政治目的外,还攻击金融公司和加密货币组织谋求经济利益。
Kimsuky