据迈克菲近日发布的一份报告称,在全球新冠病毒大流行期间,朝鲜黑客将目标对准了美国国防和航天部门提供虚假工作机会的部门,以感染那些正在寻找更好工作机会或晋升机会的员工。报道透露,这次代号为“北极星行动”的攻击始于3月下旬,一直持续到2020年5月。图片来源:McAfee迈克菲认为,“北极星行动”与之前的“隐形眼镜蛇”(HiddenCobra,美国政府的集体朝鲜黑客组织的名称)组织使用类似的基础设施和TTP(技术、战术和程序)。使用工作机会作为诱饵McAfee表示,北极星行动使用了一种常见的鱼叉式网络钓鱼电子邮件攻击来诱骗收件人打开包含所谓工作机会的诱饵文件。McAfee首席科学家兼高级首席工程师ChristiaanBeek表示,在过去的2017年和2019年,许多黑客组织都喜欢使用这个套路,朝鲜黑客也被用于对美国国防部门的攻击。这种勾引手段已经用上了。美国政府认为,参与2017年朝鲜黑客攻击的攻击者也参与了WannaCry勒索软件的开发。但2020年的攻击也有所不同,攻击者开始通过社交网络而不是电子邮件联系受害者。下图概述了从接触到操作的整个感染链,McAfee报告提供了详细的技术细节。图片来源:McAfee然而,关于该活动的有效性的问题仍然存在。鉴于在冠状病毒大流行期间劳动力流动率一直处于历史低位,目前尚不清楚朝鲜黑客利用“新工作”主题来引诱受害者是否起到了预期的效果。不幸的是,McAfee表示它无法访问投放诱饵的网络钓鱼电子邮件,只能设法恢复被劫持的文件并消除恶意软件负载。因此,McAfee无法准确确定这些攻击针对的是哪些美国国防或航空公司,因此无法通知用户。McAfee说,唯一可以确定的是假职位(高级设计工程师和系统工程师)的性质,以及黑客试图为以下防御计划“招募”人员的事实:F-22战斗机计划防御,太空与安全(DSS)太空太阳能电池航空综合战斗机集团军用飞机现代化项目McAfee的首席科学家RajSamani昨日表示,作为例行程序,它已联系美国网络安全机构,向当局通报此次袭击事件。攻击的主要目的是收集情报迈克菲的报告指出,这些攻击的要点也很明确,“北极星行动”显然是朝鲜网络间谍和情报收集工作的一部分。由于该国受到严厉的经济制裁,缺乏自给自足的军工联合体,它只能通过窃取所需信息来支持其核武器计划和野心。与此同时,迈克菲还认为,朝鲜维持其核计划的另一种方式是允许其黑客从事“普通”网络犯罪以进行融资和洗钱。安全公司卡巴斯基周二发布了一项研究,将朝鲜黑客与一种名为VHD的新型勒索软件联系起来。在此之前,该黑客组织还与各种网络犯罪活动有关,例如BEC商业电子邮件攻击、Magecart攻击、银行网络抢劫、加密货币黑客和诈骗、ATM取款和加密挖矿僵尸网络。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
