- A+
自去年五月以来,世界各地的学术组织遭到袭击
国际网络安全研究所的数字取证专家报告说,与朝鲜有联系的黑客团体已经针对全球多个学术机构部署了一个鱼叉式网络钓鱼活动。 攻击活动包括附带文档的电子邮件,试图诱骗受害者安装恶意Chrome扩展程序。 该活动已被确定为Stolen Pencil ,其受害者是具有生物识别工程专业的大学。
攻击者通过使用标准工具确保活动持续存在,但根据数字取证专家的报告,他们的操作安全性不足,因为已经得出结论,攻击者使用韩国键盘,开放浏览器和英语 - 韩语翻译。
根据专家发布的分析,仍然无法确定此活动的主要目标是什么,尽管他们补充说这组恶意行为者是访问凭证盗窃的专家。 “潜在的受害者会收到一封网络钓鱼邮件,将其重定向到网站; 随后,攻击者将试图让受害者下载恶意Chrome扩展程序,“专家们提到。
“一旦攻击完成,恶意行为者就会尝试使用远程桌面协议(RDP)等工具在受害者系统中获得持久性,并保持访问权限,”报告称。
恶意扩展程序从其他网站加载JavaScript。 此扩展允许攻击者访问受害者访问的所有网站的数据,因此专家推断黑客试图直接从浏览器窃取cookie和密码。
根据数字取证专家的报告,在Stolen Pencil活动期间没有使用任何恶意软件。 相反,这个黑客组织已经使用RPD来访问受害者的记录。 此外,专家们还发现了每天远程访问受感染系统的证据。
研究人员还发现了一个ZIP文件,其中包含端口扫描,内存和密码转储以及其他黑客攻击任务的工具。 其中包括KPortSca,PsExec,Eternal漏洞集以及网络密码恢复,远程桌面PassView,SniffPass和WebBrowserPassView等工具。
这个活动很可能只是这组黑客活动范围的一小部分。 在分析了这些恶意行为者使用的方法和工具后,专家们得出结论,这些攻击来自朝鲜。
“虽然我们能够获得有关盗窃铅笔活动背后的黑客工具,技术和程序的信息,但很明显,这只是他们活动的一小部分。 尽管范围广泛,但这些黑客采用相对简单的技术并利用已经存在于受攻击系统中的工具; 专家们提到,正如在网络安全中经常说的那样,这些攻击者“生活在陆地上”。
