McAfee 发布报告称,在今年3月初至5月,朝鲜黑客通过虚假的工作岗位招聘信息攻击美国国防和航空航天业,寄望于感染寻求更好工作机会的员工并以此在员工所在组织机构网络上获得立足点。
McAfee 将该攻击活动命名为“北极星行动”,表示这些攻击活动和 Hidden Cobra 的基础设施以及 TTPs 之间存在关联。美国政府将所有的朝鲜国家黑客组织统称为 Hidden Cobra。McAfee 指出,攻击本身是常见的鱼叉式钓鱼邮件,引诱收件人打开包含可能的工作邀约的受陷文档。
研究人员指出,很多黑客组织都曾利用过这个诱饵,朝鲜黑客也曾在2017年和2019年通过这种手段攻击美国国防部。美国曾在起诉一名朝鲜黑客时和 WannaCry 勒索软件时提到2017年的这些攻击。2020年发生的攻击活动也发生了变化,即他们并非通过邮件传播恶意软件并通过社交媒体触及受害者。McAfee 在报告中详述了从联系人到恶意软件的运作方式的整个感染链。
不过这起攻击活动的效力有待商榷。在新冠肺炎疫情期间,员工的流动性创新低,因此尚不清楚朝鲜黑客通过“新的工作机会”主题诱饵获得效果有多少。遗憾的是,McAfee 指出自己无法访问受害者邮件,仅设法恢复了受陷文档和恶意软件 payload。因此该公司无法准确判断哪些美国国防和航空航天企业遭攻击并通知它们。McAfee 公司能判断的唯一情况是虚假的工作职位(资深设计工程师和系统工程师)以及黑客试图为美国国防计划“招聘”人员:F-22战斗机计划
国防、太空与安全 (DSS)
太空太阳能电池用光伏
航空综合战斗机集团
军用飞机现代化计划
McAfee 公司的首席科学家 Raj Samani 表示,他们已告知美国网络安全机构通知相关机构。这些攻击的目的也非常清晰,“北极星行动”的目的是网络间谍和情报搜集。文章指出,由于朝鲜受到严重的经济制裁并缺乏自给自足的军事工业综合体,因此只能通过进口或窃取所需信息的方式完成核武器计划。另外朝鲜黑客还通过洗钱为核武器计划提供资金支持。
https://www.zdnet.com/article/us-defense-and-aerospace-sectors-targeted-in-new-wave-of-north-korean-attacks/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~