当前位置: 首页
科技数码
朝鲜Konni黑客组织滥用Google硬盘服务窃取数据

朝鲜Konni黑客组织滥用Google硬盘服务窃取数据

热心网友 时间:2025-11-19
转载

与朝鲜存在关联的黑客组织Konni(亦被称为Earth Imp、Opal Sleet、Osmium、TA406及Vedalia)近期针对Android和Windows系统设备发起了一系列新型攻击活动。这些攻击不仅试图窃取用户敏感数据,还旨在实现对受感染设备的远程操控。

据Genians安全中心(GSC)在最新技术报告中披露,攻击者伪装成心理咨询师及朝鲜人权活动人士,通过分发伪装成减压程序的恶意软件来实施攻击。

利用谷歌Find Hub实施远程擦除

在对Android设备的攻击活动中,黑客组织首次利用了谷歌资产追踪服务Find Hub(原Find My Device)的合法管理功能,远程重置受害者设备,导致个人数据被非法清除。该恶意活动最早于2025年9月初被发现。

攻击链始于鱼叉式钓鱼邮件,攻击者通过冒充韩国国税厅等合法机构,诱骗受害者打开恶意附件,从而投放Lilith RAT等远程访问木马。攻击者还会利用受害者已登录的KakaoTalk聊天会话,以ZIP压缩包形式向联系人分发恶意载荷。

Konni攻击流程图

GSC进一步指出:“攻击者在受感染计算机中潜伏超过一年,通过摄像头实施监控并在用户不在场时操作系统。在此过程中,初始入侵获取的访问权限可实现系统控制和额外信息收集,而规避战术则确保了长期隐蔽性。”

多阶段恶意载荷部署机制

通过即时通讯应用传播的ZIP文件中包含恶意的Microsoft Installer(MSI)包(“Stress Clear.msi”),该包滥用了中国公司的有效签名来制造合法假象。执行后会调用批处理脚本进行初始设置,并运行显示语言包兼容性虚假错误提示的VB Script,同时在后台执行恶意命令。

攻击者还部署了配置为每分钟运行的AutoIt脚本(通过计划任务实现),用于执行来自外部服务器(“116.202.99[.]218”)的指令。尽管该恶意软件与Lilith RAT存在相似性,但由于功能差异,安全研究员Ovi Liber将其命名为EndRAT(又称EndClient RAT)。

该恶意软件支持以下命令:

shellStart:启动远程shell会话shellStop:停止远程shellrefresh:发送系统信息list:列出驱动器或根目录goUp:返回上级目录download:外泄文件upload:接收文件run:在主机执行程序delete:删除主机文件

多款远控工具协同作战

Genians表示Konni APT组织还利用AutoIt脚本投放在2025年9月10日发布的Remcos RAT 7.0.4版本。受害者设备上还发现了Quasar RAT和RftRAT(Kimsuky组织2024年曾使用的木马)。韩国网络安全公司指出:“这表明恶意软件专门针对韩国相关行动,获取相关数据并进行深入分析需要付出大量努力。”

Lazarus组织新版Comebacker恶意软件曝光

ENKI详细披露了Lazarus组织使用新版Comebacker恶意软件攻击航空航天和国防机构的情况。攻击使用伪装成空客、Edge Group和印度坎普尔理工学院的诱饵文档,当受害者启用宏时,内嵌的VBA代码会执行并投递诱饵文档,同时加载内存中的Comebacker。

ENKI在报告中称:“攻击者使用高度定制的诱饵文档表明这是针对性极强的鱼叉式钓鱼活动。虽然目前尚无受害者报告,但截至本文发布时,C2基础设施仍处于活跃状态。”

Kimsuky采用新型JavaScript投放器

研究还发现Kimsuky在近期行动中使用的新型基于JavaScript的恶意软件投放器,显示该组织在持续升级其恶意武器库。攻击始于初始JavaScript文件(“themes.js”),该文件会联系攻击者控制的基础设施以获取更多能执行命令、窃取数据的JavaScript代码。

Kimsuky JavaScript投放器流程图

Pulsedive威胁研究团队在上周的分析中指出:“由于Word文档内容为空且未在后台运行任何宏,这很可能只是一个诱导手段。”

来源:https://www.51cto.com/article/829346.html

游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。

同类文章
更多
谷歌升级Google Cloud机密计算产品

谷歌升级Google Cloud机密计算产品

IT之家 7 月 6 日消息,谷歌宣布对旗下 Google Cloud 机密计算(Confidential Computing)产品进行升级,新增基于英伟达 Blackwell GPU 的机密虚拟机、开源 AI 提示词加密工具 Prompt Encryption SDK,同步升级 Confident

时间:2026-07-07 14:57
谷歌要放大招? Gemini 3.5 Pro传7月17日发布,前端碾压Fable 5

谷歌要放大招? Gemini 3.5 Pro传7月17日发布,前端碾压Fable 5

谷歌在大模型竞赛中憋出一张重磅底牌。据泄露信息,Gemini 3 5 Pro将于7月17日正式发布,其前端与视觉代码生成能力据称出现跨越式跃升,在多项测试中压制Anthropic的Fable 5,但在硬核推理与复杂工程任务上仍落后于对手。这款姗姗来迟的旗舰模型背后,是一次更为彻底的技术重构。据科技媒

时间:2026-07-07 14:45
年电池续航最长的荣耀手机别错过

年电池续航最长的荣耀手机别错过

在挑选2026年电池续航最长的手机时,许多人关注的不仅仅是实验室测试中的几分钟优势,更看重一天高强度使用后还能剩下多少电量。按照这个标准来看,荣耀X80 Pro Max确实很有代表性,它将大容量电池与真实日常场景紧密结合,是该需求下非常值得优先考虑的一款机型。荣耀X80 Pro Max直接搭载了一块

时间:2026-07-07 12:52
年高性价比手机推荐 同预算选机更看重长期体验

年高性价比手机推荐 同预算选机更看重长期体验

在2026年性价比高的手机推荐榜单中,同价位机型往往更看重长期使用的综合体验。如果仅仅追求低价,很容易忽视续航、耐用性、屏幕素质与通信质量这些日常高频使用的核心维度。荣耀X80 Pro Max的主要竞争力,在于将11000mAh超大电池、军工级防护、万级亮度屏幕以及AI智能体验,全部集成到2000元

时间:2026-07-07 12:52
小米17系列销量超550万台 Ultra版约23.07万部

小米17系列销量超550万台 Ultra版约23.07万部

探讨小米17系列最新销量表现。据数码博主曝光的行业追踪数据,截至2026年第26周(即6月22日至6月28日),小米17系列全系累计销量已成功突破550万台大关。 具体数据方面,系列总销量约为554 01万台。其中,定位顶配的小米17 Ultra贡献了约23 07万部。值得关注的是,面向中端市场的1

时间:2026-07-07 12:52
热门专题
更多
刀塔传奇破解版无限钻石下载大全 刀塔传奇破解版无限钻石下载大全
洛克王国正式正版手游下载安装大全 洛克王国正式正版手游下载安装大全
思美人手游下载专区 思美人手游下载专区
好玩的阿拉德之怒游戏下载合集 好玩的阿拉德之怒游戏下载合集
不思议迷宫手游下载合集 不思议迷宫手游下载合集
百宝袋汉化组游戏最新合集 百宝袋汉化组游戏最新合集
jsk游戏合集30款游戏大全 jsk游戏合集30款游戏大全
宾果消消消原版下载大全 宾果消消消原版下载大全
  • 日榜
  • 周榜
  • 月榜