朝鲜黑客利用 Torisma 间谍软件进行攻击

这是一场针对航空航天和国防部门的网络间谍活动，目的是在受害者的机器上安装数据收集植入程序，以进行监视和数据过滤。

他们攻击的目标是澳大利亚、以色列、俄罗斯的互联网服务提供商（ISPs）以及俄罗斯和印度的国防承包商的IP地址。这些攻击涉及一个之前未被发现的间谍软件工具Torisma，它在暗中监视并利用受害者。

McAfee研究人员在代号为“Operation North Star”的追踪下，今年7月的初步调查结果显示，有人利用社交媒体网站、鱼叉式网络钓鱼以及带有虚假招聘信息的攻击性文件，诱骗国防部门的员工，并侵入他们的组织网络。

这些攻击被归因于之前与“Hidden Cobra”有关的基础设施和TTPs(技术、战术和程序)。“Hidden Cobra”是美国政府用来描述所有朝鲜政府支持的黑客组织的总称。

攻击者对美国国防和航天承包商进行恶意攻击，利用其核武库中的攻击者来支持和资助其核武器计划。

虽然初步分析表明，植入程序的目的是收集受害者的基本信息，以评估其价值，但对“Operation North Star”的最新调查显示出“一定程度的技术创新”——旨在隐藏在受损系统中。

该活动不仅使用了美国著名国防承包商网站上的合法招聘内容，诱使目标受害者打开恶意的鱼叉式钓鱼电子邮件附件，攻击者还利用美国和意大利的正版网站——拍卖行、印刷公司，以及一家IT培训公司（负责命令与控制（C2）能力）。

McAfee的研究人员Christiaan Beek和Ryan Sherstibitoff表示：“使用这些域来执行C2操作可能会使他们绕过一些组织的安全措施，因为大多数组织不会阻止可信网站。”

此外，嵌入Word文档中的第一阶段的植入程序将继续评估受害者系统数据（日期、IP地址、用户代理等），方法是通过与预定的目标IP地址列表进行交叉检查，以安装第二个名为Torisma的植入程序，同时将检测和发现的风险降到最低。

除了主动监视添加到系统中的新驱动器以及远程桌面连接之外，此监视植入程序还用于执行自定义shellcode。

研究人员说：“这项活动很有趣，因为攻击者有一个特定的目标清单，在决定发送第二个植入程序（32位或64位）进行深入监测之前，这个清单已经过验证。”

“攻击者监视由C2发送的植入程序的进度，并将其写入日志文件中，从而了解哪些受害者已被成功渗入并可以进行进一步监控。”

消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。

本文由 HackerNews.cc 翻译整理。

转载请注明“转自 HackerNews.cc ” 并附上原文链接。