【安全资讯】Kimsuky组织冒充新闻网站发起钓鱼攻击

引言

研究人员捕获了与朝鲜有关的APT组织“Kimsuky（又名Thallium）”的最新攻击活动，此次攻击的目标是研究朝鲜领域问题的专家。与传统的鱼叉式网络钓鱼攻击不同，攻击者并不是将恶意文件作为电子邮件附件发送，而是使用社会工程网络钓鱼技术，诱导用户点击政治新闻正文中的 URL 链接地址。

简况

钓鱼邮件伪装成NAVER新闻，显示的是前总统卢泰愚的女婿崔泰源会长在首尔大学医院殡仪馆的灵堂进行了吊唁，以此降低了受害者的警戒心。钓鱼邮件中使用的词组和伪造的虚假网站页面均引用了实际媒体公司的真实新闻报道。伪装成真实新闻的钓鱼邮件如下图：

电子邮件的发件人和地址被伪造为“Naver News <news@navercorp.corn>”，而实际发件人是保加利亚电子邮件服务“mail.bg”，这个服务已多次被朝鲜网络威胁组织使用。电子邮件正文包含两个链接，这些链接都指向一个名为“nid.livelogin365.in[.]net”的海外服务器。如果访问该链接，可能会泄露用户的IP地址和网络浏览器等信息，并且可能会有安装其他恶意文件的风险。之后，它移动到“nnews.naver-con.cloudns[.]cl”地址并显示伪装成实际新闻内容的假页面。

归因

研究人员在此次攻击中发现了一些与Kimsuky相似的共性，例如来源、命令和控制 (C2) 服务器地址以及与Kimsuky过去使用的恶意文件的代码的相似性。Kimsuky被广泛认为与朝鲜侦查总局有关联，该组织主要使用插入恶意宏命令的DOC、XLS文件或PDF漏洞（CVE-2020-9715）攻击。