【安全资讯】Kimsuky关联黑客使用类似手法攻击俄罗斯和韩国

概要：

近期报告显示，与朝鲜国家支持的Kimsuky组织有关的Konni黑客组织正在加大对俄罗斯和韩国的攻击力度。该组织采用类似的战术、技术和程序，主要目标是网络间谍活动。自2021年以来，Konni已多次针对俄罗斯外交部、俄罗斯驻印尼大使馆以及多家韩国企业。

主要内容：

根据韩国网络安全公司Genians的研究，Konni黑客组织自2014年起活跃至今，主要通过网络钓鱼邮件获取初始访问权限。这些邮件通常以税务、奖学金和金融为主题，诱骗受害者点击恶意链接或下载附件。

Konni的定制远程访问木马（RAT）使攻击者能够完全控制受感染系统。在对俄罗斯和韩国的攻击中，该组织使用类似的技术，将受感染设备连接到黑客控制的命令服务器（C2）。恶意模块通过可执行文件安装在受害者设备上，连接C2服务器的过程通过内部命令完成。

研究人员指出，尽管威胁行为者多年来一直使用类似的攻击模式和场景，但他们也在结合异常攻击战术以提高成功率。通过关注该组织在不同国家的攻击相似性，安全专家可以更好地保护其实体，并更准确地归因于这些攻击。

Konni的活动对俄罗斯和韩国的外交机构和企业构成了严重威胁，提醒各国加强网络安全防护，防范此类APT组织的持续攻击。