【安全资讯】朝鲜黑客使用新工具攻击核相关组织员工

概要：

近期，朝鲜国家支持的黑客组织针对一核相关机构的多名员工展开攻击，使用了一系列恶意软件，包括新识别的工具。这一事件标志着朝鲜Lazarus集团在渗透敏感行业员工设备方面的战术演变，尤其是通过虚假招聘机会进行的攻击。

主要内容：

根据网络安全公司Kaspersky的研究，攻击者采用了多种熟悉的策略，但也加入了令人担忧的新变化。虽然Kaspersky未透露受影响组织的具体名称或位置，但Lazarus集团通常以经济利益为目标。研究人员发现了一条复杂的感染链，涉及多种恶意软件，包括下载器、加载器和后门，显示出该组织在交付和持久性方法上的进步。

初步感染是通过伪装成技能评估测试的木马虚拟网络计算（VNC）工具进行的。研究人员在受感染设备上发现的恶意软件之一是CookieTime，它被用来下载其他几种恶意软件，包括一种被称为CookiePlus的新型插件模块化恶意软件。研究人员指出，CookiePlus的行为类似于下载器，这使得调查其下载的内容变得复杂。

此外，韩国网络安全公司ASEC警告称，另一个与朝鲜政府相关的黑客组织Andariel正在利用SmallTiger恶意软件攻击“国内资产管理”软件和“文档集中解决方案”。Andariel已实施间谍活动和勒索攻击。根据区块链分析公司Chainalysis的报告，2024年迄今，朝鲜黑客已通过47起事件盗取了至少13.4亿美元的加密货币。