關(guān)鍵詞

網(wǎng)絡(luò)攻擊

韓國(guó)網(wǎng)絡(luò)安全公司Genians Security Center（GSC）披露，隸屬于朝鮮的網(wǎng)絡(luò)攻擊組織Konni（又名 Earth Imp、Opal Sleet、Osmium、TA406、Vedalia）近期發(fā)動(dòng)新一輪攻擊行動(dòng)，目標(biāo)涵蓋Android與Windows設(shè)備。此次行動(dòng)不僅涉及數(shù)據(jù)竊取與遠(yuǎn)程控制，還首次濫用 Google 的資產(chǎn)追蹤服務(wù)Find Hub（原 Find My Device）實(shí)現(xiàn)遠(yuǎn)程數(shù)據(jù)清除功能，具備極強(qiáng)的破壞性。

GSC 在技術(shù)報(bào)告中指出，攻擊者偽裝成心理咨詢(xún)師或朝鮮人權(quán)活動(dòng)人士，向目標(biāo)投遞偽裝為“壓力緩解程序”的惡意軟件。針對(duì) Android 設(shè)備的攻擊尤其突出，其利用 Google Find Hub 的遠(yuǎn)程管理功能，在入侵后可直接執(zhí)行設(shè)備重置，從而清除受害者的全部個(gè)人數(shù)據(jù)。該攻擊活動(dòng)自 2025 年 9 月初被發(fā)現(xiàn)，是 Konni 首次將合法云服務(wù)的管理功能武器化，用于遠(yuǎn)程摧毀移動(dòng)設(shè)備數(shù)據(jù)。

整個(gè)攻擊鏈條起始于魚(yú)叉式釣魚(yú)郵件。攻擊者冒充韓國(guó)國(guó)稅廳等合法機(jī)構(gòu)，向特定目標(biāo)發(fā)送帶有惡意附件的電子郵件，誘使受害者下載并執(zhí)行遠(yuǎn)程訪問(wèn)木馬Lilith RAT。一旦受害者計(jì)算機(jī)被攻陷，攻擊者便可遠(yuǎn)程控制設(shè)備、竊取數(shù)據(jù)，并利用受害者的KakaoTalk聊天會(huì)話向其聯(lián)系人傳播惡意文件。這些傳播包通常以 ZIP 壓縮檔形式出現(xiàn)，內(nèi)含名為“Stress Clear.msi”的安裝程序。該程序?yàn)E用了中國(guó)某公司簽發(fā)的合法數(shù)字簽名以偽裝可信，運(yùn)行后會(huì)執(zhí)行批處理腳本與 VBScript 腳本，向用戶(hù)顯示語(yǔ)言兼容性錯(cuò)誤的假信息，而后臺(tái)則在靜默狀態(tài)下部署惡意命令。

惡意腳本會(huì)啟動(dòng)名為EndRAT（又稱(chēng) EndClient RAT）的遠(yuǎn)控程序。該程序通過(guò)計(jì)劃任務(wù)機(jī)制每分鐘執(zhí)行一次，從外部 C2 服務(wù)器（116.202.99[.]218）接收指令，實(shí)現(xiàn)系統(tǒng)信息收集、文件傳輸、遠(yuǎn)程 Shell 執(zhí)行、文件刪除與程序啟動(dòng)等功能。安全研究人員指出，雖然 EndRAT 與 Lilith RAT 在部分行為上類(lèi)似，但其代碼結(jié)構(gòu)有所差異，表明該工具為 Konni 專(zhuān)門(mén)改進(jìn)的新型遠(yuǎn)控模塊。

GSC 的分析還發(fā)現(xiàn)，攻擊者在部分受害者系統(tǒng)中利用 AutoIt 腳本啟動(dòng)Remcos RAT 7.0.4，該版本由 Breaking Security 于 2025 年 9 月 10 日發(fā)布，顯示出 Konni 正積極采用最新版本的商業(yè)化遠(yuǎn)控工具。此外，研究人員還檢測(cè)到Quasar RAT與RftRAT的存在，后者曾被朝鮮另一組織Kimsuky于 2023 年使用。這一系列證據(jù)表明，該攻擊活動(dòng)高度聚焦韓國(guó)地區(qū)，攻擊者在持續(xù)收集本地化數(shù)據(jù)，并投入大量資源進(jìn)行深度偽裝與持久滲透。

GSC 報(bào)告指出，Konni 在入侵 Windows 系統(tǒng)后，能夠長(zhǎng)時(shí)間隱藏自身蹤跡，有時(shí)潛伏超過(guò)一年。攻擊者可通過(guò)受感染主機(jī)的攝像頭實(shí)施監(jiān)控，在用戶(hù)離開(kāi)時(shí)遠(yuǎn)程操作系統(tǒng)，并竊取受害者的 Google 與 Naver 帳號(hào)憑證。更令人警惕的是，攻擊者利用被盜的 Google 憑證登錄受害者的 Find Hub 帳號(hào)，遠(yuǎn)程執(zhí)行設(shè)備重置操作，徹底刪除受害者手機(jī)數(shù)據(jù)。部分案例顯示，攻擊者甚至進(jìn)入受害者的 Naver 備用郵箱，刪除來(lái)自 Google 的安全警報(bào)郵件并清空回收站，以掩蓋行為痕跡。

在 Konni 活動(dòng)曝光的同時(shí)，另一朝鮮黑客組織Lazarus Group被發(fā)現(xiàn)使用新版Comebacker惡意軟件，對(duì)航空航天與國(guó)防行業(yè)實(shí)施定向攻擊。韓國(guó)安全公司ENKI指出，攻擊者通過(guò)偽裝為Airbus、Edge Group及印度理工學(xué)院坎普爾分校（IIT Kanpur）的 Word 文檔引誘目標(biāo)開(kāi)啟宏功能，從而加載并執(zhí)行惡意組件。Comebacker 通過(guò) HTTPS 與遠(yuǎn)程 C2 通信，循環(huán)接收加密指令，進(jìn)行持續(xù)監(jiān)控與數(shù)據(jù)竊取。目前雖尚未發(fā)現(xiàn)受害者，但其 C2 基礎(chǔ)設(shè)施仍處于活躍狀態(tài)。

與此同時(shí)，Kimsuky組織也被發(fā)現(xiàn)使用一種新型基于JavaScript的惡意加載器（Dropper）。該攻擊以themes.js文件為起點(diǎn)，連接攻擊者控制的服務(wù)器下載更多腳本代碼，執(zhí)行命令、竊取信息并加載第三階段 Payload，同時(shí)創(chuàng)建計(jì)劃任務(wù)每分鐘運(yùn)行一次初始腳本，并打開(kāi)一個(gè)空白的 Word 文檔作為誘餌。安全公司Pulsedive Threat Research指出，這種空文檔雖無(wú)宏執(zhí)行行為，但用于誤導(dǎo)受害者并維持攻擊進(jìn)程的持久性。

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專(zhuān)注網(wǎng)絡(luò)安全

實(shí)時(shí)資訊一手掌握！

好看你就分享 有用就點(diǎn)個(gè)贊

支持「安全圈」就點(diǎn)個(gè)三連吧！