游乐游手机版
首页/科技数码/文章详情

朝鲜Konni黑客组织滥用Google硬盘服务窃取数据

时间:2025-11-19 16:57
与朝鲜有关联的黑客组织 Konni(又名 Earth Imp、Opal Sleet、Osmium、TA406 和 Vedalia)近期发动了一系列针对 Android 和 Windows 设备的新型

与朝鲜存在关联的黑客组织Konni(亦被称为Earth Imp、Opal Sleet、Osmium、TA406及Vedalia)近期针对Android和Windows系统设备发起了一系列新型攻击活动。这些攻击不仅试图窃取用户敏感数据,还旨在实现对受感染设备的远程操控。

据Genians安全中心(GSC)在最新技术报告中披露,攻击者伪装成心理咨询师及朝鲜人权活动人士,通过分发伪装成减压程序的恶意软件来实施攻击。

利用谷歌Find Hub实施远程擦除

在对Android设备的攻击活动中,黑客组织首次利用了谷歌资产追踪服务Find Hub(原Find My Device)的合法管理功能,远程重置受害者设备,导致个人数据被非法清除。该恶意活动最早于2025年9月初被发现。

攻击链始于鱼叉式钓鱼邮件,攻击者通过冒充韩国国税厅等合法机构,诱骗受害者打开恶意附件,从而投放Lilith RAT等远程访问木马。攻击者还会利用受害者已登录的KakaoTalk聊天会话,以ZIP压缩包形式向联系人分发恶意载荷。

Konni攻击流程图

GSC进一步指出:“攻击者在受感染计算机中潜伏超过一年,通过摄像头实施监控并在用户不在场时操作系统。在此过程中,初始入侵获取的访问权限可实现系统控制和额外信息收集,而规避战术则确保了长期隐蔽性。”

多阶段恶意载荷部署机制

通过即时通讯应用传播的ZIP文件中包含恶意的Microsoft Installer(MSI)包(“Stress Clear.msi”),该包滥用了中国公司的有效签名来制造合法假象。执行后会调用批处理脚本进行初始设置,并运行显示语言包兼容性虚假错误提示的VB Script,同时在后台执行恶意命令。

攻击者还部署了配置为每分钟运行的AutoIt脚本(通过计划任务实现),用于执行来自外部服务器(“116.202.99[.]218”)的指令。尽管该恶意软件与Lilith RAT存在相似性,但由于功能差异,安全研究员Ovi Liber将其命名为EndRAT(又称EndClient RAT)。

该恶意软件支持以下命令:

shellStart:启动远程shell会话shellStop:停止远程shellrefresh:发送系统信息list:列出驱动器或根目录goUp:返回上级目录download:外泄文件upload:接收文件run:在主机执行程序delete:删除主机文件

多款远控工具协同作战

Genians表示Konni APT组织还利用AutoIt脚本投放在2025年9月10日发布的Remcos RAT 7.0.4版本。受害者设备上还发现了Quasar RAT和RftRAT(Kimsuky组织2024年曾使用的木马)。韩国网络安全公司指出:“这表明恶意软件专门针对韩国相关行动,获取相关数据并进行深入分析需要付出大量努力。”

Lazarus组织新版Comebacker恶意软件曝光

ENKI详细披露了Lazarus组织使用新版Comebacker恶意软件攻击航空航天和国防机构的情况。攻击使用伪装成空客、Edge Group和印度坎普尔理工学院的诱饵文档,当受害者启用宏时,内嵌的VBA代码会执行并投递诱饵文档,同时加载内存中的Comebacker。

ENKI在报告中称:“攻击者使用高度定制的诱饵文档表明这是针对性极强的鱼叉式钓鱼活动。虽然目前尚无受害者报告,但截至本文发布时,C2基础设施仍处于活跃状态。”

Kimsuky采用新型JavaScript投放器

研究还发现Kimsuky在近期行动中使用的新型基于JavaScript的恶意软件投放器,显示该组织在持续升级其恶意武器库。攻击始于初始JavaScript文件(“themes.js”),该文件会联系攻击者控制的基础设施以获取更多能执行命令、窃取数据的JavaScript代码。

Kimsuky JavaScript投放器流程图

Pulsedive威胁研究团队在上周的分析中指出:“由于Word文档内容为空且未在后台运行任何宏,这很可能只是一个诱导手段。”

来源:https://www.51cto.com/article/829346.html
上一篇谷歌生成式UI革新体验:动态界面AI即时生成与解析 下一篇AP离线原因与AC控制器排查指南
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
OpenClaw手机App上线,结果翻车了
科技数码 · 2026-07-01

OpenClaw手机App上线,结果翻车了

OpenClaw 官方宣布,已正式推出 iOS 和 Android 原生移动 App,用户如今可以在手机上使用这款主打“能真正帮你做事”的个人 AI 助手。官方在 X 上给出的定位也很直接:把 Agent 放进口袋里,让用户可以在移动端处理频道消息、任务和回复。从功能上看,OpenClaw 移动端并

优必选CEO周剑:家庭机器人生态核心投入过半精力
科技数码 · 2026-07-01

优必选CEO周剑:家庭机器人生态核心投入过半精力

先说几个核心判断:优必选正在布局一盘长远战略。创始人兼CEO周剑在近期一场媒体沟通会上,直接亮出了公司未来的发展路线——工业、商用、家庭陪伴机器人三条业务主赛道并行推进,现阶段每条线各占约一半精力。一边是已经能够稳定创造收入的工业场景,另一边则是他眼中“最具想象力与未来空间”的家庭陪伴领域。工业人形

CPO/NPO/OIO开启封装级光连接价值空间,技术路线尚未收敛
科技数码 · 2026-07-01

CPO/NPO/OIO开启封装级光连接价值空间,技术路线尚未收敛

6月30日,申银万国在光连接系列研报中重点指出,MPO光连接器领域的投资机会值得高度关注。通俗来说,随着AI算力集群持续扩张,光互联升级带来的连锁效应——数据中心光纤通道数量、前面板端口密度、机柜内光纤管理复杂度——均在同步攀升。光连接器的角色早已超越传统的低价值标准件,如今它直接决定着链路插损、可

龙岗AR实景剧本游内测体验短板有效破解之道
科技数码 · 2026-07-01

龙岗AR实景剧本游内测体验短板有效破解之道

在今年龙岗区第二届人工智能与机器人发展大会上,区级部门一次性推出了7个AI“龙搭子”。其中,名为“龙导游”的成果成为文商旅融合领域的核心亮点。据南都N视频记者了解,依托“龙导游”打造的全区全域AR实景剧本游“龙岗大陆”,已在今年五一假期发布了内测版本。经过一个月市场验证后,该项目正式启动面向全社会的

南下资金6月30日净买入中芯国际与建滔积层板
科技数码 · 2026-07-01

南下资金6月30日净买入中芯国际与建滔积层板

6月30日,南下资金持续大举买入港股,单日净流入金额高达58 95亿港元。接下来,我们直接盘点哪些个股获得资金青睐、哪些遭到减持: 净买入方面,中芯国际领跑全场,单日吸金19 33亿港元;建滔积层板紧随其后,净买入10 59亿港元;腾讯控股获得7 65亿港元净流入;智谱(02513 HK)也有6 5