游乐游手机版
首页/科技数码/文章详情

朝鲜Konni黑客组织滥用Google硬盘服务窃取数据

时间:2025-11-19 16:57
与朝鲜有关联的黑客组织 Konni(又名 Earth Imp、Opal Sleet、Osmium、TA406 和 Vedalia)近期发动了一系列针对 Android 和 Windows 设备的新型

与朝鲜存在关联的黑客组织Konni(亦被称为Earth Imp、Opal Sleet、Osmium、TA406及Vedalia)近期针对Android和Windows系统设备发起了一系列新型攻击活动。这些攻击不仅试图窃取用户敏感数据,还旨在实现对受感染设备的远程操控。

据Genians安全中心(GSC)在最新技术报告中披露,攻击者伪装成心理咨询师及朝鲜人权活动人士,通过分发伪装成减压程序的恶意软件来实施攻击。

利用谷歌Find Hub实施远程擦除

在对Android设备的攻击活动中,黑客组织首次利用了谷歌资产追踪服务Find Hub(原Find My Device)的合法管理功能,远程重置受害者设备,导致个人数据被非法清除。该恶意活动最早于2025年9月初被发现。

攻击链始于鱼叉式钓鱼邮件,攻击者通过冒充韩国国税厅等合法机构,诱骗受害者打开恶意附件,从而投放Lilith RAT等远程访问木马。攻击者还会利用受害者已登录的KakaoTalk聊天会话,以ZIP压缩包形式向联系人分发恶意载荷。

Konni攻击流程图

GSC进一步指出:“攻击者在受感染计算机中潜伏超过一年,通过摄像头实施监控并在用户不在场时操作系统。在此过程中,初始入侵获取的访问权限可实现系统控制和额外信息收集,而规避战术则确保了长期隐蔽性。”

多阶段恶意载荷部署机制

通过即时通讯应用传播的ZIP文件中包含恶意的Microsoft Installer(MSI)包(“Stress Clear.msi”),该包滥用了中国公司的有效签名来制造合法假象。执行后会调用批处理脚本进行初始设置,并运行显示语言包兼容性虚假错误提示的VB Script,同时在后台执行恶意命令。

攻击者还部署了配置为每分钟运行的AutoIt脚本(通过计划任务实现),用于执行来自外部服务器(“116.202.99[.]218”)的指令。尽管该恶意软件与Lilith RAT存在相似性,但由于功能差异,安全研究员Ovi Liber将其命名为EndRAT(又称EndClient RAT)。

该恶意软件支持以下命令:

shellStart:启动远程shell会话shellStop:停止远程shellrefresh:发送系统信息list:列出驱动器或根目录goUp:返回上级目录download:外泄文件upload:接收文件run:在主机执行程序delete:删除主机文件

多款远控工具协同作战

Genians表示Konni APT组织还利用AutoIt脚本投放在2025年9月10日发布的Remcos RAT 7.0.4版本。受害者设备上还发现了Quasar RAT和RftRAT(Kimsuky组织2024年曾使用的木马)。韩国网络安全公司指出:“这表明恶意软件专门针对韩国相关行动,获取相关数据并进行深入分析需要付出大量努力。”

Lazarus组织新版Comebacker恶意软件曝光

ENKI详细披露了Lazarus组织使用新版Comebacker恶意软件攻击航空航天和国防机构的情况。攻击使用伪装成空客、Edge Group和印度坎普尔理工学院的诱饵文档,当受害者启用宏时,内嵌的VBA代码会执行并投递诱饵文档,同时加载内存中的Comebacker。

ENKI在报告中称:“攻击者使用高度定制的诱饵文档表明这是针对性极强的鱼叉式钓鱼活动。虽然目前尚无受害者报告,但截至本文发布时,C2基础设施仍处于活跃状态。”

Kimsuky采用新型JavaScript投放器

研究还发现Kimsuky在近期行动中使用的新型基于JavaScript的恶意软件投放器,显示该组织在持续升级其恶意武器库。攻击始于初始JavaScript文件(“themes.js”),该文件会联系攻击者控制的基础设施以获取更多能执行命令、窃取数据的JavaScript代码。

Kimsuky JavaScript投放器流程图

Pulsedive威胁研究团队在上周的分析中指出:“由于Word文档内容为空且未在后台运行任何宏,这很可能只是一个诱导手段。”

来源:https://www.51cto.com/article/829346.html
上一篇谷歌生成式UI革新体验:动态界面AI即时生成与解析 下一篇AP离线原因与AC控制器排查指南
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
年国家能源局充换电服务业用电量增速48.8%
科技数码 · 2026-06-29

年国家能源局充换电服务业用电量增速48.8%

2025年全社会用电量达103682亿千瓦时,同比增长5 0%。充换电服务业用电增速高达48 8%,信息传输与软件服务业增速17 0%。第三产业和居民用电对增长贡献率合计占一半。中国成为全球首个年度用电量超10 4万亿千瓦时的国家。

追风者 GLACIER ONE 360 S25 液冷散热器新品上市 联体风扇售价429元
科技数码 · 2026-06-29

追风者 GLACIER ONE 360 S25 液冷散热器新品上市 联体风扇售价429元

追风者冰川360S25液冷散热器售价429元,三联一体风扇便捷安装,冷头小体积纯铜底座噪音18dB,风扇转速300-2000RPM、风量75CFM、静压2 96mmAq,五年质保漏液包赔。

三星Galaxy Watch8用户反馈谷歌后台组件异常
科技数码 · 2026-06-29

三星Galaxy Watch8用户反馈谷歌后台组件异常

三星GalaxyWatch8、Watch5Pro、Watch6及Watch7用户反映,GooglePlayServices后台耗电异常,电量占比最高达99 97%,远超正常水平,严重影响续航。目前故障原因不明,谷歌尚未发布官方声明。

罗永浩批苹果iOS 27创新不足 盼新CEO改进
科技数码 · 2026-06-29

罗永浩批苹果iOS 27创新不足 盼新CEO改进

罗永浩批评苹果iOS27创新不足,称仅有双iPhone同号、音量分离等数十项细节改进,认为库克时代缺乏突破性创新,股市虽好但消费者只能被迫接受挤牙膏式升级。

年国产车出口710万辆,两家车企销量破百万
科技数码 · 2026-06-29

年国产车出口710万辆,两家车企销量破百万

2025年国产汽车出口总量达710万辆,同比增长21%。奇瑞以134万辆居首,比亚迪105万辆次之,上汽乘用车出口占比60%最高,长城出口51万辆。吉利、长安等主流品牌同步增长,小鹏、零跑等新兴品牌海外拓展加速。