在2025年联合安全分析师会议(JSAC)上(2025年1月21-22日在日本东京),韩国NSHC威胁研究实验室的研究人员Hankuk Jo、Sangyoon Yoo和Jeonghee Ha详细分析了朝鲜政府支持的黑客组织Kimsuky在2024年6月发起的一次复杂网络攻击。此次攻击通过社交工程手段,模仿经典童话《小红帽》中的情节,展示了Kimsuky如何利用伪装和欺骗手段入侵目标系统。NSHC(Network Security Hub Center)是韩国知名的网络安全公司,专注于威胁情报、恶意软件分析和事件响应。
攻击背景与目标
Kimsuky是朝鲜政府支持的黑客组织,擅长通过社交工程手段进行网络攻击。此次攻击的目标是韩国海军通信和信息系统中的关键人员,尤其是韩国海军学院的毕业生。
攻击的背景与朝鲜国防部副部长金康一在2024年5月26日的声明有关,朝鲜计划通过获取海上情报来确保其在海上冲突中的优势。金康一在声明中批评了韩国与美国的空中侦察和海上巡逻活动,并威胁将采取军事回应。
攻击步骤与手法
侦察阶段:Kimsuky通过职业社交平台LinkedIn收集目标信息,利用公开的职业和教育背景数据锁定潜在受害者。攻击者特别关注那些曾在韩国海军担任通信、信息系统和作战规划等关键职位的人员。
资源开发:攻击者使用虚拟专用服务器(VPS/VDS)搭建攻击基础设施,并通过加密货币支付服务费用,确保匿名性。攻击者选择的VPS提供商在注册时不需要电子邮件或电话号码验证,进一步增强了匿名性。
初始访问:通过鱼叉式钓鱼邮件,Kimsuky发送伪装成PDF文件的恶意附件。邮件通过了SPF(Sender Policy Framework)、DKIM(DomainKeys Identified Mail)、ARC(Authenticated Received Chain)和DMARC(Domain-based Message Authentication, Reporting & Conformance)等邮件认证协议,成功绕过邮件服务器的安全检查。邮件的发送IP地址位于韩国首尔的微软数据中心,进一步增加了邮件的可信度。
执行阶段:受害者下载并执行了包含恶意JavaScript的EGG格式压缩文件,最终触发了PE(Portable Executable)格式的恶意软件。Kimsuky通过实验发现,JavaScript恶意软件压缩成EGG格式后,能够绕过Gmail的病毒扫描。
防御规避:Kimsuky使用VMProtect等工具对恶意软件进行混淆和加密,进一步规避安全检测。VMProtect通过控制流混淆、数据加密和字节操作等技术,使得恶意软件难以被分析和检测。
数据收集与渗透:攻击者通过**“Living off the Land”策略,利用系统自带的命令(如systeminfo、ipconfig、net user等)收集系统信息,并将数据伪装成PDF文件通过HTTP POST**方法传输到攻击服务器。
攻击工具与技术
恶意软件:Kimsuky使用了多种恶意软件,包括JavaScript恶意脚本、PE格式的可执行文件(如DLL和EXE文件),并通过RC4加密和VMProtect进行混淆。
攻击基础设施:攻击者使用了VPS/VDS服务器,并通过加密货币支付服务费用,确保匿名性。攻击服务器的域名和IP地址与Kimsuky之前的基础设施相匹配。
邮件欺骗技术:Kimsuky通过伪造邮件头信息,使得钓鱼邮件能够通过SPF、DKIM、ARC和DMARC等邮件认证协议,成功绕过邮件服务器的安全检查。
攻击的相似性与归因
通过对比分析,研究人员发现此次攻击与Kimsuky以往的攻击行为高度相似,尤其是在恶意软件的行为和结构上。攻击服务器IP和域名也与Kimsuky之前的基础设施相匹配。
研究人员认为,此次攻击是Kimsuky为朝鲜政府获取海上情报的一部分,旨在为未来的海上冲突做准备。
攻击的后果与影响
根据NSHC的分析,此次攻击成功入侵了部分目标系统,获取了韩国海军通信和信息系统中的敏感信息。这些信息可能包括海军作战计划、通信协议和关键基础设施的详细信息。
攻击的后果可能对韩国的海上防御能力产生重大影响,尤其是在朝鲜半岛局势紧张的背景下,朝鲜可能利用这些情报在未来可能的冲突中占据优势。
经验教训与防御建议
加强社交工程防范:Kimsuky通过LinkedIn等社交平台收集目标信息,利用伪装和信任建立接近目标,展示了社交工程攻击的复杂性。企业和政府机构应加强对员工的社交工程防范培训。
提升邮件安全检测:建议加强对邮件认证协议的监控,提升对压缩文件和JavaScript恶意软件的检测能力。特别是对于EGG等不常见的压缩格式,应加强扫描和检测。
强化威胁情报共享:NSHC的研究人员强调了情报共享的重要性,建议国内外的安全分析师加强合作,共同应对来自朝鲜等国家支持的高级持续性威胁(APT)。
小结
此次演讲深入剖析了Kimsuky的攻击手法,揭示了朝鲜黑客组织如何通过精密的社交工程和技术手段,成功入侵目标系统。研究人员通过详细的案例分析,为网络安全从业者提供了宝贵的防御经验和策略,强调了在应对高级持续性威胁(APT)时,情报共享和技术创新的重要性。此次攻击的成功也提醒我们,面对日益复杂的网络威胁,必须不断提升防御能力,才能有效应对来自国家支持的黑客组织的挑战。
关于NSHC威胁研究实验室
作为韩国领先的网络安全公司之一,NSHC目前是远东地区第一大移动安全解决方案提供商、全亚洲第一大ICS/SCADA进攻性安全服务提供商,并正在努力成为全球顶尖的网络安全公司。NSHC主要分为两个团队:红警和蓝队。红警专注于进攻性安全垂直领域:网络分析、安全培训和高级渗透测试。NSHC拥有韩国和新加坡顶尖的进攻性安全研究人员,为全球10多个国家的学员提供安全培训,并为各种安全会议举办CTF,包括日本的CodeBlue和美国拉斯维加斯的DEFCON。蓝队专注于防御性安全领域:韩国和日本的政府机构和金融机构超过80%的移动应用使用我们最畅销的产品:Droid-X和DxShield来保护他们的移动安全环境。
附件:演讲PPT
