朝鲜网络间谍组织针对大学教授

与朝鲜有关的威胁行为者Kimsuky与一系列针对大学工作人员、研究人员和教授的新攻击有关，其目的是收集情报。

网络安全公司Resilience表示，在观察到黑客犯下的操作安全（OPSEC）错误后，它于2024年7月下旬发现了该活动。

Kimsuky，也被称为APT43、ARCHIPELAGO、Black Banshee、Emerald Sleet、Springtail和Velvet Chollima，只是在朝鲜政府和军方指导下运作的众多进攻性网络团队之一。

它非常活跃，通常利用鱼叉式网络钓鱼活动作为起点，提供一组不断扩展的自定义工具进行侦察、窃取数据并建立对受感染主机的持久远程访问。

这些攻击的特征还在于，使用受感染的主机作为临时基础设施来部署混淆版本的Green Dinosaur Web shell，然后利用该主机执行文件操作。安全研究人员blackorbird曾于2024年5月强调过Kimuksy对Web shell的使用。

Green Dinosaur提供的访问权限随后被滥用，上传预先构建的网络钓鱼页面，这些页面旨在模仿Naver和多所大学（如同德大学、高丽大学和延世大学）的合法登录门户，目的是获取他们的凭据。

接下来，受害者被重定向到另一个网站，该网站指向Google Drive上托管的PDF文档，该文档声称是牙山政策研究所8月论坛的邀请。

Resilience研究人员表示：“此外，在Kimsuky的网络钓鱼网站上，还有一个非特定目标的网络钓鱼工具包用于收集Naver账户。”

“这个工具包是一个类似于Evilginx的基本代理，用于窃取访问者的cookie和凭据，并显示弹出窗口，告知用户需要再次登录，因为与服务器的通信被中断。”

该分析还揭示了Kimsuky使用的名为SendMail的自定义PHPMailer工具，该工具用于使用Gmail和Daum Mail账户向目标发送网络钓鱼电子邮件。

为了应对这一威胁，建议用户启用防网络钓鱼的多重身份验证（MFA），并在登录前仔细检查URL。