北韩高级持续威胁行动

文章重点

北韩黑客组织 Kimsuky 使用 KLogEXE 和 FPSpy 恶意软件攻击南韩和日本的组织。攻击手法包括钓鱼邮件和 ZIP 文件下载，相关文件源代码存在相似性。KLogEXE 的功能包括应用数据窃取和键盘记录，而 FPSpy 则可进行系统数据收集和指令执行。

根据 The Hacker News 的报导，北韩的高级持续威胁组织 Kimsuky也称为 APT43、Black Banshee、ARCHIPELAGO、Springtail、Sparkling Pisces、Emerald Sleet 和 Velvet Chollima在攻击中利用了新型的 KLogEXE 和 FPSpy 恶意软件。这些攻击主要针对位于南韩和日本的机构。

根据 Palo Alto Networks Unit 42 的分析，Kimsuky 的入侵事件涉及了发送钓鱼邮件，诱使受害者下载 ZIP 文件，并提取恶意文件以便部署有效载荷。由于源代码之间存在相似性，推测这些恶意软件可能出自同一作者。Unit 42 的研究人员报告指出，KLogEXE 支援应用数据的窃取、键盘记录和滑鼠点击监控，而 FPSpy 则可进行系统数据收集、执行额外的有效载荷、任意命令执行和文件枚举。

海鸥加速器6.5.4版本

Unit 42 的威胁研究主任 Assaf Dahan 表示：“由于这些攻击的性质被认为是有针对性和精心挑选，因此我们评估这些攻击不太可能广泛扩散，而是限于一些特定国家主要是日本和南韩和少数行业。”