新的恶意软件被朝鲜黑客组织利用
朝鲜网络间谍活动新手段
关键要点
朝鲜网络间谍组织UNC2970利用新型恶意软件袭击美国和欧洲的媒体与科技公司。攻击主要通过社交平台LinkedIn伪装招聘人员进行联系,随后利用WhatsApp发送包含网络钓鱼内容的职位描述。相关恶意工具包括LIDSHIFT、PLANKWALK、TOUCHSHIFT、TOUCHMOVE、TOUCHKEY等,显示UNC2970在恶意软件开发上的持续推进。根据The Hacker News的报道,朝鲜国家支持的网络间谍组织UNC2970正利用新的恶意软件家族展开网络攻击。这些攻击自6月以来已针对美国及欧洲的媒体和科技公司展开,UNC2970被视为之前的UNC577又名TempHermit。据Mandiant的报告显示,安全研究人员是此次攻击的主要目标。
攻击中,黑客通过LinkedIn伪装成招聘人员来与潜在受害者进行初步沟通,随后利用WhatsApp发送职业描述,交付网络钓鱼内容。这种策略使得他们能够有效地诱骗受害者。攻击者使用了一种被称为LIDSHIFT的木马VNC版本,用于承载下一阶段的LIDSHOT负载,具备下载和执行shellcode的能力。同时,PLANKWALK后门被用来建立持久性并帮助分发其他工具,包括TOUCHSHIFT恶意软件投放器、TOUCHMOVE加载器、TOUCHKEY键盘记录器、HOOKSHOT隧道工具、TOUCHSHOT截图工具以及SIDESHOW后门。
值得一提的是,黑客们还利用LIGHTSHIFT内存独占型投放器来分发LIGHTSHOW恶意软件。Mandiant表示:“所识别的恶意工具突显了UNC2970在新工具的研发与部署上的持续努力。虽然该组织之前主要针对国防、媒体和科技行业,但对安全研究人员的攻击表明其策略出现了转变或操作范围的扩展。”
通过对这些恶意软件的监测与分析,我们可以看到网络威胁的演变与变化,保护数字资产仍然是当今网络生态环境的重要挑战。
猎豹vnp加速器