详细内容或原文请订阅后点击阅览
Kimsuky APT 组织使用自定义 RDP Wrapper 版本和 forceCopy 窃取程序
研究人员发现朝鲜的 Kimsuky APT 组织发起鱼叉式网络钓鱼攻击以传播 forceCopy 信息窃取恶意软件。来自 AhnLab 安全情报中心 (ASEC) 的研究人员观察到朝鲜的 Kimsuky APT 组织进行鱼叉式网络钓鱼攻击以传播 forceCopy 信息窃取恶意软件。Kimsuky 网络间谍组织(又名 ARCHIPELAGO、Black Banshee、Thallium、Velvet Chollima、APT43)于 2013 年首次被卡巴斯基研究人员发现。该组织在控制下工作 […]
来源:Security Affairs _恶意软件Kimsuky APT 组织使用自定义 RDP Wrapper 版本和 forceCopy 窃取程序
Kimsuky APT 组织使用自定义 RDP Wrapper 版本和 forceCopy 窃取程序
Pierluigi Paganini Pierluigi Paganini 2025 年 2 月 8 日研究人员发现朝鲜的 Kimsuky APT 组织发起鱼叉式网络钓鱼攻击,以传播 forceCopy 信息窃取恶意软件。
AhnLab 安全情报中心 (ASEC) 的研究人员观察到朝鲜的 Kimsuky APT 组织进行鱼叉式网络钓鱼攻击,以传播 forceCopy 信息窃取恶意软件。
KimsukyKimsuky 网络间谍组织(又名 ARCHIPELAGO、Black Banshee、Thallium、Velvet Chollima、APT43)于 2013 年首次被卡巴斯基研究人员发现。该组织受侦察总局 (RGB) 外国情报部门的控制。2020 年 10 月底,US-CERT 发布了一份关于 Kimusky 近期活动的报告,其中提供了有关其 TTP 和基础设施的信息。
Kimsuky 网络间谍组织 Thallium APT43 发现 US-CERT 发布了一份关于 Kimusky 近期活动的报告该 APT 组织主要针对韩国的智库和组织,其他受害者位于美国、欧洲和俄罗斯。
根据 ASEC 的报告,受国家支持的黑客发送鱼叉式网络钓鱼消息,分发伪装成 Office 文档的恶意 *.LNK 快捷方式文件。打开后,他们执行 PowerShell 或 Mshta 下载 PebbleDash 和 RDP Wrapper 等恶意软件,以控制受感染的系统。
PebbleDash攻击者使用定制的 RDP Wrapper 启用远程桌面访问,可能修改导出功能以逃避检测。
RDP Wrapper研究人员注意到,威胁行为者还安装了代理恶意软件,以实现对位于私有网络中的受感染系统的外部访问。
Kimsuky 组织使用多种文件格式的键盘记录器,包括 PowerShell 脚本。
Kimsuky 还使用 forceCopy 窃取恶意软件来捕获击键并从浏览器目录中提取文件。
报告 @securityaffairs Facebook ( –