与朝鲜有关的黑客组织”Konni”近日被曝采用新型复合攻击手段:他们先伪装成”朝鲜人权讲师委任通知”发送钓鱼邮件,再通过入侵的KakaoTalk账号进行多阶段扩散攻击。
攻击者首先通过钓鱼邮件在受害者电脑中植入恶意程序,随后利用窃取的账号信息非法登录受害者KakaoTalk电脑版,进而向受害者的联系人列表传播恶意软件。
网络安全公司Genians安全中心16日发布的威胁情报分析报告显示,Konni组织近期正采用这种方式实施高级持续性威胁(APT)攻击。
整个攻击始于一封伪装成”朝鲜人权讲师委任通知”的定向钓鱼邮件。攻击者利用与朝鲜相关的诱饵内容获取收件人信任,诱导其执行压缩附件中隐藏的恶意快捷方式文件。当用户点击该文件试图打开文档时,隐藏在远程控制程序内的恶意脚本便会立即执行,导致电脑被感染。
本次攻击的关键特点在于,黑客将受害者已安装的KakaoTalk电脑版变成了攻击扩散的传播渠道。
据分析,攻击者在受害者电脑中长期潜伏并窃取账户信息后,通过非法方式登录KakaoTalk电脑版会话。随后从受害者的好友列表中筛选特定联系人,继续发送伪装成”朝鲜相关视频策划案”等名称的恶意文件,从而延续攻击链条。
这种方法利用了受害者与联系人之间既有的信任关系,使得接收方极有可能毫无戒备地打开文件。
Genians分析指出:”此次攻击不仅限于简单的钓鱼邮件,更结合了基于信任关系的传播和账户会话盗用技术,威胁程度极高。这种长期潜伏、信息窃取、基于账户的再传播相结合的多阶段攻击体系,能将原有受害者转化为新的攻击媒介。”
Genians建议,为应对日益精密化的APT攻击,各机构急需超越简单的入侵指标封锁策略,建立基于端点检测与响应的异常行为应对体系。
具体措施包括:制定即时通讯软件文件传输安全规范、检测异常的大规模或重复传输模式、检查重要设备的会话保护状态等。
同时需要加强用户安全教育,提醒警惕伪装成文档图标的快捷方式文件或仿冒公文格式的附件。
Genians相关负责人强调:”针对利用朝鲜、人权、安保、公共机构通知等社会政治敏感话题的钓鱼邮件,应制定政策最大限度限制附件执行。企业必须建立能够实时进行行为检测和执行阶段拦截的端点安全体系,以应对此类攻击。”
