STOLEN PENCIL——与朝鲜相关的APT小组自今年5月以来一直瞄准学术机构。
与朝鲜相关的APT组织正在利用网络钓鱼攻击学术机构。网络钓鱼邮件包括指向网站的链接,其中的诱饵文档试图欺骗用户安装恶意Google Chrome扩展程序。
该活动的许多受害者位于多所大学,都是生物医学工程方面的专业人士。
攻击者使用现成的工具确保驻留,根据NetScout报告:
“攻击背后的最终动机尚不清楚,但攻击者善于掠夺凭证。通过发送网络钓鱼电子邮件,引导他们到显示诱饵文档的网站,并立即提示安装恶意谷歌Chrome扩展程序。”
“一旦得逞,攻击者就会使用现成的工具来确保长期驻留,包括远程桌面协议(RDP)以保持访问权限。”
攻击者使用了仿冒页面,其中较为复杂的目标是学术界在IFRAME中显示良性PDF,并将用户重定向到Chrome网上应用店的“字体管理器”扩展。
恶意扩展从一个单独的站点加载JavaScript,但目前只发现一个包含合法jQuery代码的文件,可能是因为攻击者更换了恶意代码以进行分析。恶意扩展允许攻击者从受害者访问的所有网站读取数据,这种情况表明攻击者希望窃取浏览器cookie和密码。
攻击者没有使用恶意软件来破坏目标,STOLEN PENCIL攻击者使用RDP访问受感染的系统,研究人员观察到每天从06:00到09:00 UTC(01:00-04: 00 EST)是活跃时间。
STOLEN PENCIL攻击者还使用受损或被盗的证书签署了该活动中使用的多个PE文件。研究人员观察了两套签名的工具,名为MECHANICAL和GREASE。前者记录击键并替换以太坊钱包地址,后者在系统中添加Windows管理员帐户并启用RDP。
安全研究人员还发现了一个ZIP文件,其中包含用于端口扫描,内存和密码转储以及其他黑客活动的工具。
这些工具列表包括KPortScan,PsExec,用于启用RDP的批处理文件,Procdump,Mimikatz,漏洞攻击套件Eternal 以及Nirsoft工具,如Mail PassView, Network Password Recovery, Remote Desktop PassView, SniffPass, 和 WebBrowserPassView。
STOLEN PENCIL活动可能仅代表攻击者活动的一小部分。安全研究人员表示,使用基本技术,现成的程序,前面提到的加密技术以及韩语的使用表明演员是朝鲜人。
虽然我们能够深入了解STOLEN PENCIL背后的攻击者的TTP(工具,技术和程序),但这显然只是他们活动的一个小窗口。
声明:本文来自malwarebenchmark,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。