详细内容或原文请订阅后点击阅览
与朝鲜有关的 APT Emerald Sleet 正在使用一种新策略
Microsoft Threat Intelligence 观察到与朝鲜有关的 APT Emerald Sleet 使用了一种新策略,即诱骗目标运行 PowerShell。Microsoft Threat Intelligence 研究人员发现与朝鲜有关的威胁行为者 Emerald Sleet(也称为 Kimsuky 和 VELVET CHOLLIMA)使用了一种新策略。他们诱骗目标以管理员身份运行 PowerShell 并执行提供的代码 [...]
来源:Security Affairs _恶意软件与朝鲜有关的 APT Emerald Sleet 正在使用一种新策略
与朝鲜有关的 APT Emerald Sleet 正在使用一种新策略
Pierluigi Paganini Pierluigi Paganini 2025 年 2 月 12 日Microsoft Threat Intelligence 观察到与朝鲜有关的 APT Emerald Sleet 使用了一种新策略,诱骗目标运行 PowerShell。
Microsoft Threat Intelligence 研究人员发现与朝鲜有关的威胁行为者 Emerald Sleet(也称为 Kimsuky 和 VELVET CHOLLIMA)使用了一种新策略。 他们诱骗目标以管理员身份运行 PowerShell 并执行攻击者提供的代码。
Kimsuky VELVET CHOLLIMAKimsuky 网络间谍组织(又名 ARCHIPELAGO、Black Banshee、Thallium、Velvet Chollima、APT43)于 2013 年首次被卡巴斯基研究人员发现。该组织在侦察总局 (RGB) 外国情报部门的控制下工作。2020 年 10 月底,US-CERT 发布了一份关于 Kimusky 近期活动的报告,其中提供了有关其 TTP 和基础设施的信息。
Kimsuky 网络间谍组织 Thallium APT43 发现 US-CERT 发布了一份关于 Kimusky 近期活动的报告该 APT 组织主要针对韩国的智库和组织,其他受害者位于美国、欧洲和俄罗斯。
威胁行为者冒充韩国政府官员,与目标建立信任,然后发送带有诱饵 PDF 附件的鱼叉式网络钓鱼电子邮件。收件人被诱骗点击 URL 来注册他们的设备,这会导致以管理员身份打开 PowerShell 并粘贴 Emerald Sleet 提供的代码以阅读 PDF 附件的指令。
以管理员身份运行代码后,它会下载并安装基于浏览器的远程桌面工具,并从远程服务器下载带有硬编码 PIN 的证书文件。
然后,代码向远程服务器发送 Web 请求,使用下载的证书和 PIN 注册受害者的设备,从而使攻击者能够访问该设备并窃取数据。
观察到 ( –