【安全资讯】Kimsuky APT组织针对大学研究人员进行间谍活动

概要：

朝鲜支持的黑客组织Kimsuky再次活跃，这次他们将目标对准了大学研究人员和教授，展开了一场持续的间谍活动。Resilience威胁情报报告显示，Kimsuky通过网络钓鱼攻击和被攻陷的电子邮件账户，获取大学网络的访问权限并窃取宝贵的研究数据。

主要内容：

Kimsuky组织的最新行动始于2024年春季，主要通过精准和复杂的网络钓鱼攻击展开。该组织通过电子邮件建立与受害者的信任，然后发送恶意附件，一旦打开，这些附件就会使黑客获得大学网络的访问权限。Kimsuky利用这些访问权限窃取宝贵的研究数据，这些数据被朝鲜政府用于增强其科学社区。

2024年7月底，Resilience分析师观察到Kimsuky操作员的一次罕见的操作安全（OPSEC）失误。这次失误使分析师得以深入了解该组织的内部运作，获取了源代码、登录凭证、流量日志和内部笔记等数据。这些文件显示，Kimsuky通过网络钓鱼攻击大学教职员工、研究人员和教授，旨在渗透大学网络。被窃取的研究数据可能涉及核武器技术、医疗和制药进展等领域。

Kimsuky的攻击通过一系列被攻陷的互联网主机进行，Resilience团队识别出多个用于攻击的域名，如audko[.]store和wodos[.]xyz。其基础设施的关键组件是一个名为“Green Dinosaur”的网络外壳，这是Indrajith Mini Shell 2.0的修改版本。这个网络外壳允许Kimsuky操作员在被攻陷的服务器上上传、下载和操作文件，同时避免被检测到。Green Dinosaur经过多层base64和gz压缩字符串的重度混淆，使得托管公司难以检测。

除了特定大学，Kimsuky还开发了一套用于窃取Naver账户的网络钓鱼工具包。该工具包充当代理，捕获受害者的cookie和凭证。该组织使用一个名为“SendMail”的自定义PHPMailer实现来分发网络钓鱼邮件。这些邮件通常看起来来自合法来源，如教授或大学管理员，进一步增加了其可信度。