朝鲜APT利用远程擦除功能攻击Android用户
朝鲜黑客正在利用Google的Find Hub服务来擦除Android设备。
KONNI针对韩国的定向鱼叉式网络钓鱼活动
根据Genians安全中心(GSC)的研究,KONNI活动已活跃多年,通过高度个性化的鱼叉式网络钓鱼攻击针对韩国境内的个人。
该组织通过韩国流行的消息平台KakaoTalk分发伪装成"减压程序"的恶意文件。受害者从冒充熟人、心理咨询师或朝鲜人权活动人士的联系人处接收这些文件——这种方法旨在利用个人信任。
联合国安全理事会下的多边制裁监测小组(MSMT)已确认Kimsuky、KONNI与朝鲜63研究中心之间的操作联系。这些组织是平壤进行网络间谍活动、监视和金融盗窃以支持受制裁活动的更广泛战略的一部分。
Google Find Hub被利用进行远程擦除活动
新发现活动中最令人担忧的是其滥用Google的Find Hub,这是一个旨在帮助用户定位或重置丢失Android设备的合法功能。
威胁行为者在获取Google账户凭证后,使用该工具的合法管理功能远程重置智能手机和平板电脑,擦除数据并中断通信。这种策略有效地将受害者与其数字网络切断,延迟了检测和响应。
调查人员确认,攻击者跟踪受害者的实时GPS位置,并在确认设备所有者离开后触发远程擦除命令。这种协调的顺序——设备中和后通过受感染的KakaoTalk账户进行二次传播——展示了高度的战术复杂性。
KONNI攻击如何展开
该活动始于冒充可信组织(如韩国国税厅)的鱼叉式网络钓鱼邮件。一旦受害者打开恶意附件,攻击者就获得初始访问权限,并使用基于AutoIt的恶意软件建立持久性。
这些脚本执行持续监视、收集数据并安装额外有效负载,包括远程访问木马(RAT),如RemcosRAT、QuasarRAT和RftRAT。
攻击者依赖包含有效数字签名的Microsoft安装程序(MSI)文件来绕过安全检查。内部批处理文件和Visual Basic脚本执行隐蔽有效负载,而假的"语言包"错误消息隐藏了恶意活动。恶意软件通过创建每分钟重新启动有效负载的计划任务来建立持久性,确保即使在系统重启后也能保持长期控制。
一旦获得控制权,威胁行为者就会窃取Google和Naver账户的凭证,删除安全警报以掩盖踪迹,并使用被盗数据通过Find Hub执行多个远程擦除命令。受害者经历重复的设备重置、存储数据丢失和持续的系统中断,而他们被入侵的消息会话被武器化以传播进一步的感染。
追踪KONNI活动的全球足迹
数字取证和威胁情报表明,KONNI的基础设施主要托管在位于德国、俄罗斯和美国的基于WordPress的服务器上,并在日本和荷兰设有额外的中继节点。恶意脚本中的语言痕迹——如朝鲜语词汇——进一步证实了其与国家支持的操作者的关联。
GSC的分析还显示,攻击者用"攻击武器"等术语标记内部文件夹,表明其有意开发网络攻击工具用于进攻行动。使用多个RAT、AutoIt脚本和分布式命令与控制(C2)基础设施反映了一种先进的模块化方法,专为隐蔽性、持久性和全球覆盖而设计。
加强防御以应对国家支持的威胁
为了应对不断演变的国家支持的网络威胁,组织必须加强用户身份验证和端点防御。以下措施侧重于加强账户安全、改进威胁检测并降低社会工程策略的风险。
- 实施多因素身份验证(MFA),定期更新密码,并强制执行条件访问策略
- 采用端点检测与响应(EDR)和移动设备管理(MDM)解决方案来检测异常行为并管理设备安全
- 通过在执行远程擦除命令前要求用户验证(如PIN、指纹或面部识别)来加强Find Hub和类似的远程管理工具
- 验证通过消息和电子邮件平台接收的文件,使用警告提示,并提供定期安全意识培训以降低风险
- 分段网络,应用最小权限原则,并保持固件和应用程序完全修补或利用补偿性分层控制来降低风险
- 监控异常登录行为,集成威胁情报源,并进行主动威胁狩猎
真正的网络韧性来自于结合有纪律的控制、持续的可视性和主动防御,以帮助组织防范新兴威胁。
最新的KONNI相关活动突显了国家支持的网络行动的显著演变。通过劫持像Google Find Hub这样的合法服务,攻击者展示了将可信工具武器化以达到破坏性目的的能力不断增强。这种对合法平台日益增长的滥用凸显了为何采用零信任方法——即没有用户或系统天生受信任——已成为现代网络安全的关键。