据悉,与朝鲜有关联的黑客组织“Konni”正通过伪装成“朝鲜人权讲师委任通知”的鱼叉式网络钓鱼(针对特定个人窃取信息的钓鱼攻击)邮件,并联动KakaoTalk实施多阶段攻击。
16日,网络安全企业Genius安保中心发布的威胁情报分析报告显示,Konni正在开展一项伪装成朝鲜主题内容的恶意文件传播行动。
Konni先向目标发送伪装为“朝鲜人权讲师委任通知”的邮件实施第一轮渗透,然后通过快捷方式形式(LNK类型)的恶意文件,使远程控制型恶意代码感染目标设备。此后,恶意代码长期潜伏在被感染设备中,窃取内部文档及敏感信息。
本次行动最大的特点在于,将受害者本身恶意利用为恶意代码二次传播的渠道。Konni在未获授权的情况下访问受害者的KakaoTalk电脑端版本,并从其好友列表中选取部分对象作为二次攻击目标。
报告指出,此次行动是一种将基于信任关系的传播与账号滥用相结合的扩散型高级持续性攻击(Advanced Persistent Threat),威胁程度较高。Genius安保中心表示:“攻击者利用伪装成朝鲜相关视频策划方案的诱饵内容迷惑收件人,并将既有受害者恶意用作追加攻击媒介,构建出基于信任关系的传播结构”,“这是一套结合长期潜伏、信息窃取与基于账号的再扩散的多阶段攻击体系”。
另一方面,Konni过去一直持续展开高级攻击行动。今年1月,该组织通过“Poseidon行动”恶意利用谷歌广告的点击重定向机制,绕过电子邮件安全过滤和用户警惕。2025年,该组织还曾针对安卓设备采用远程恢复出厂设置战术,以维持对设备的控制权或清除证据。
报告分析认为,有必要将Konni的活动理解为长期且系统化的作战行动的一部分。为应对日益精细化的高级攻击,防御措施应超越单纯依赖入侵指 Indicators of Compromise(入侵指标)进行阻断,转而引入以Endpoint Detection and Response(终端检测与响应)为核心的响应体系。
报告特别指出,各类组织应针对通过即时通讯工具收发文件的行为制定安全指引,并完善防御体系,以便能够识别与用户日常习惯不同的文件共享模式。用户自身也有必要警惕伪装成文档图标的快捷方式文件,以及伪装成公文或通知的附件等。
Genius安保中心表示:“从初始渗透、持续驻留、信息收集,到滥用即时通讯工具与再扩散,有必要构建一套综合考虑威胁行为者战术、技术与流程(Tactics, Techniques and Procedures)全流程的多层防御战略。”
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
