朝鲜黑客利用虚假招聘信息对美发起新一轮攻击 – 作者:Megannainai

朝鲜黑客对于攻击美国相关机构乐此不疲，这次瞄准美国国防和航空航天业。

新一轮攻击

迈克菲（McAfee）的安全专家发现，朝鲜黑客针对美国国防和航空航天业，发起了新的攻击活动。他们利用假的工作信息来欺骗求职者，并损害组织机构的网络。这个攻击行为被称为“北极星行动”，在2020年3月下旬至2020年5月期间十分活跃。

黑客发布的虚假职位信息主要针对特定的美国国防计划和团体：

• F-22战斗机计划
• 国防，太空与安全（DSS）
• 太空太阳能电池用光伏
• 航空综合战斗机集团
• 军用飞机现代化计划

研究人员注意到，这次攻击中使用的基础设施和TTP（技术，战术和程序）与朝鲜黑客组织HIDDEN COBRA的攻击方式一致。黑客用虚假的工作计划作为诱饵，向求职者发送诱导性的邮件。，此外，幕后的黑客正在利用多个欧洲国家的受损基础架构来托管其C2基础架构，并将恶意软件发送给目标。

值得注意的是，这次攻击涉及的TTP，也与2017年和2019年针对关键军事和国防技术的攻击活动相似。

分析表明，今年的攻击活动目的之一，是在受害者的机器上安装数据收集注入器。这些DLL注入器可以从受害者的机器中收集基本信息，以便识别受害者。有报告称，从目标机器收集的数据，有助于对目标价值进行分类。 McAfee ATR注意到，在2020年的竞选活动中，攻击者也使用了几种不同类型的注入器。不过，由于冠状病毒的持续影响，这项攻击的具体影响目前尚未可知。

持续攻击欧美的朝鲜黑客

近几年，随着两国关系降温，朝鲜黑客对于美国相关机构或企业的攻击已成为常态。2017年，朝鲜黑客疑似针对美国国防承包商加大攻击力度，试图获取目标公司知识产权，包括部署在朝鲜半岛的武器系统。2018年，美国联邦调查局和国土安全部专门联合发布了一份技术警报，详细介绍了朝鲜政府黑客组织Hidden Cobra正在使用两款最新发现的恶意软件。

此外，除了与美国的暗中较量，朝鲜也曾对欧洲的航空和军队发起攻击。今年6月，朝鲜的Lazarus 黑客组织被指利用 LinkedIn 攻击欧洲航空公司和军队企业攻击者伪装成工作面试流程的一部分，将声称包含公司和岗位其它信息的文件发给受害者，而实际上这些文档中包含遭恶意软件的文件，可导致攻击者侵入受害者的计算机。

来源：freebuf.com 2020-07-31 13:09:49 by: Megannainai