朝鲜Konni黑客组织滥用Google硬盘服务窃取数据

与朝鲜存在关联的黑客组织Konni（亦被称为Earth Imp、Opal Sleet、Osmium、TA406及Vedalia）近期针对Android和Windows系统设备发起了一系列新型攻击活动。这些攻击不仅试图窃取用户敏感数据，还旨在实现对受感染设备的远程操控。

据Genians安全中心（GSC）在最新技术报告中披露，攻击者伪装成心理咨询师及朝鲜人权活动人士，通过分发伪装成减压程序的恶意软件来实施攻击。

利用谷歌Find Hub实施远程擦除

在对Android设备的攻击活动中，黑客组织首次利用了谷歌资产追踪服务Find Hub（原Find My Device）的合法管理功能，远程重置受害者设备，导致个人数据被非法清除。该恶意活动最早于2025年9月初被发现。

攻击链始于鱼叉式钓鱼邮件，攻击者通过冒充韩国国税厅等合法机构，诱骗受害者打开恶意附件，从而投放Lilith RAT等远程访问木马。攻击者还会利用受害者已登录的KakaoTalk聊天会话，以ZIP压缩包形式向联系人分发恶意载荷。

Konni攻击流程图

GSC进一步指出：“攻击者在受感染计算机中潜伏超过一年，通过摄像头实施监控并在用户不在场时操作系统。在此过程中，初始入侵获取的访问权限可实现系统控制和额外信息收集，而规避战术则确保了长期隐蔽性。”

多阶段恶意载荷部署机制

通过即时通讯应用传播的ZIP文件中包含恶意的Microsoft Installer（MSI）包（“Stress Clear.msi”），该包滥用了中国公司的有效签名来制造合法假象。执行后会调用批处理脚本进行初始设置，并运行显示语言包兼容性虚假错误提示的VB Script，同时在后台执行恶意命令。

攻击者还部署了配置为每分钟运行的AutoIt脚本（通过计划任务实现），用于执行来自外部服务器（“116.202.99[.]218”）的指令。尽管该恶意软件与Lilith RAT存在相似性，但由于功能差异，安全研究员Ovi Liber将其命名为EndRAT（又称EndClient RAT）。

该恶意软件支持以下命令：

多款远控工具协同作战

Genians表示Konni APT组织还利用AutoIt脚本投放在2025年9月10日发布的Remcos RAT 7.0.4版本。受害者设备上还发现了Quasar RAT和RftRAT（Kimsuky组织2024年曾使用的木马）。韩国网络安全公司指出：“这表明恶意软件专门针对韩国相关行动，获取相关数据并进行深入分析需要付出大量努力。”

Lazarus组织新版Comebacker恶意软件曝光

ENKI详细披露了Lazarus组织使用新版Comebacker恶意软件攻击航空航天和国防机构的情况。攻击使用伪装成空客、Edge Group和印度坎普尔理工学院的诱饵文档，当受害者启用宏时，内嵌的VBA代码会执行并投递诱饵文档，同时加载内存中的Comebacker。

ENKI在报告中称：“攻击者使用高度定制的诱饵文档表明这是针对性极强的鱼叉式钓鱼活动。虽然目前尚无受害者报告，但截至本文发布时，C2基础设施仍处于活跃状态。”

Kimsuky采用新型JavaScript投放器

研究还发现Kimsuky在近期行动中使用的新型基于JavaScript的恶意软件投放器，显示该组织在持续升级其恶意武器库。攻击始于初始JavaScript文件（“themes.js”），该文件会联系攻击者控制的基础设施以获取更多能执行命令、窃取数据的JavaScript代码。

Kimsuky JavaScript投放器流程图

Pulsedive威胁研究团队在上周的分析中指出：“由于Word文档内容为空且未在后台运行任何宏，这很可能只是一个诱导手段。”