朝鲜APT组织Kimsuky发起的最新网络间谍攻击活动——每周威胁情报动态第234期（08.01-08.07）

朝鲜APT组织Kimsuky发起的最新网络间谍攻击活动

近日，研究人员发现一起疑似由朝鲜国家支持的高级持续性威胁（APT）组织Kimsuky发起的网络间谍活动。该活动针对韩国政府机构、国防承包商及研究组织，通过精心设计的社交工程手段和高度隐蔽的技术链，窃取敏感信息。此次攻击不仅展示了Kimsuky组织在技术上的持续进化，也凸显了国家背景网络威胁的复杂性和危害性。

攻击始于恶意Windows快捷方式（LNK）文件，这些文件通过钓鱼邮件传播，诱骗目标用户点击。LNK文件会通过合法的Windows工具mshta.exe加载远程HTA文件，该文件包含经过高度混淆的VBScript代码。攻击者利用十进制和十六进制数值转换技术隐藏代码的真实功能，以此绕过静态检测。HTA文件进一步下载诱饵文档（如伪装成韩国政府通知的PDF文件），以分散用户注意力，同时掩盖恶意活动。

一旦恶意脚本执行，它会检查系统是否启用了Windows Defender等终端防护软件。如果防护软件处于运行状态，脚本会下载Base64编码的ZIP文件并解码，释放包含信息窃取和键盘记录功能的PowerShell脚本。这些脚本通过反虚拟机检测技术（如检查系统制造商是否为VMware或VirtualBox）规避沙箱分析，并在确认安全后建立持久化机制，通过注册表项确保每次用户登录时自动运行。

攻击者通过多阶段操作收集目标系统的详细信息，包括系统配置、网络适配器、运行进程、安装程序列表以及证书目录（如NPKI和GPKI），这些数据被压缩后暂存于临时目录。此外，脚本会扫描用户最近访问的文件、浏览器存储的密码和Cookie（针对Chrome、Edge等浏览器），并监控用户活动（如键盘记录和剪贴板捕获）。所有窃取的数据通过HTTP POST请求分块上传至命令与控制（C2）服务器，伪装成正常网络流量以逃避检测。

Kimsuky组织在此次活动中还展示了其动态命令执行能力。恶意脚本定期与C2服务器通信，下载额外负载或执行远程指令。值得注意的是，攻击者使用反射式DLL注入技术，将解密后的恶意DLL直接加载到内存中运行，避免文件落地，进一步增强了隐蔽性。

根据诱饵文档的内容和攻击手法，研究人员判定此次攻击主要针对韩国境内的个人和机构，尤其是与政府、国防相关的实体。Kimsuky组织长期以韩国为目标，此次活动的技术细节（如PowerShell滥用、特定混淆技术）与历史攻击高度吻合，进一步佐证了其背景。

图 1 Kimsuky组织攻击链示意图

参考链接：

https://www.aryaka.com/docs/reports/aryaka-kimsuky-apt-operational-blueprint.pdf

APT36针对印度政府机构的钓鱼攻击活动分析

近期，网络安全研究人员发现了一场高度复杂的网络钓鱼攻击活动，目标直指印度国防组织及相关政府机构。这场攻击活动被认为可能由与巴基斯坦有关联的APT36（又称“透明部落”或Transparent Tribe）组织策划，攻击者通过精心设计的伪造域名和欺骗性网页，试图窃取敏感凭据及数据信息。

这场攻击活动的核心在于利用伪装成印度政府官方平台的“错字域名”（typo-squatted domains），如email.gov.in.gov-in.mywire.org等，诱骗用户输入登录凭据。这些域名在设计上极为狡猾，模仿了印度国家信息中心（NIC）等官方平台的视觉页面要素，包括标志、页面布局和标题，营造出高度逼真的合法性假象。用户一旦访问这些恶意链接，会被重定向至伪造的登录页面，攻击者通过实时采集一次性密码（OTP）和其他凭据，实施精准的凭据窃取。这种社会工程学策略结合了高度仿真的界面和实时数据窃取技术，展现了攻击者的高超技巧。

研究人员分析发现，此次攻击的网络基础设施与巴基斯坦有密切关联。部分恶意子域名托管在与巴基斯坦IT服务公司Zah Computers相关的服务器上，这可能表明攻击者利用了共享或被入侵的基础设施来掩盖其真实身份，或直接通过巴基斯坦的服务器进行攻击。进一步的IP地址分析发现，部分域名解析到的IP地址曾出现在威胁情报数据库中，与APT36的已知活动模式高度吻合。APT36作为一个活跃自2013年的高级持续威胁（APT）组织，以针对印度政府、军方及关键基础设施的网络间谍活动而闻名，其惯用手法包括伪造域名、钓鱼攻击和恶意软件植入等。

在技术层面，研究人员通过对恶意URL的深入调查，确认了攻击活动的多阶段实施过程。首先，攻击者通过鱼叉式钓鱼邮件分发恶意PDF附件，例如名为“PO-003443125.pdf”的文件。这些文件在打开时呈现模糊背景，并包含一个伪装成NIC登录界面的按钮，诱导用户点击。一旦用户点击，页面会触发重定向至伪造网站，同时下载包含恶意可执行文件的ZIP压缩包。这些可执行文件伪装成合法应用程序，实则为恶意软件，可能包括Crimson RAT等远程访问木马，用于长期潜伏和数据窃取。此外，攻击者还利用了“ClickFix”技术，通过引导用户在Windows运行对话框中执行恶意PowerShell命令，绕过传统安全防御。

在某些情况下，攻击者还针对运行BOSS Linux的印度政府系统，展示了其跨平台攻击能力。研究人员发现，攻击者通过分发包含恶意.desktop文件的ZIP压缩包（如“Cyber-Security-Advisory.zip”），在用户执行文件时同时下载合法的PowerPoint文件作为诱饵，掩盖后台运行的恶意ELF二进制文件的执行。这种多阶段攻击结合视觉欺骗和隐秘执行，大大提高了攻击成功率。

此次攻击的背景与地缘政治密切相关。APT36的攻击活动往往围绕印度与巴基斯坦之间的敏感议题，例如克什米尔冲突。攻击者利用2025年4月Pahalgam恐怖袭击等热点事件作为钓鱼诱饵，制作与印度政府或军方相关的主题内容，增强邮件的可信度。这种策略不仅利用了目标群体的心理弱点，还通过高度针对性的社会工程学手法，最大化了攻击效果。

图 2 APT36组织的攻击活动钓鱼页面

参考链接：

https://www.cyfirma.com/research/apt36-a-phishing-campaign-targeting-indian-government-entities/

法国电信巨头Orange遭受网络攻击，内部系统受损

2025年7月25日，法国电信巨头Orange确认，其关键信息系统遭受重大网络攻击，导致企业客户和部分消费者服务出现中断。此次攻击主要影响了法国境内的运营，Orange迅速启动危机响应机制，联合其网络安全部门Orange Cyberdefense展开应对，以遏制攻击并恢复正常服务。

攻击发生后，Orange的网络安全团队在7月25日迅速检测到异常活动，并立即采取行动，隔离可能受损的系统以限制攻击对客户和基础设施的影响。然而，这些隔离措施导致了网络服务的显著中断，特别是针对企业客户的管理平台和部分消费者服务。Orange表示，其团队已识别问题并正在实施解决方案，估计在7月30日上午逐步恢复主要受影响的服务。为确保安全，恢复过程将在高度监控下进行。

从法律和监管角度，Orange已向相关当局提交正式投诉，并通知了主管机构，积极配合调查。目前的调查显示，尚无证据表明客户数据或Orange内部数据被窃取，但他们保持高度警惕，持续监控任何可能的数据泄露或未经授权的访问行为。为避免泄露可能被恶意利用的攻击细节或系统漏洞，Orange决定不公开更多事件细节，仅通过官方声明与公众沟通。

此次攻击是继2025年初Orange罗马尼亚分支机构遭遇数据泄露后的又一次网络安全事件。2月份，一名自称“Rey”的黑客声称窃取了Orange罗马尼亚的非关键应用数据，包括员工信息、用户记录、源代码、发票、合同和约38万个电子邮件地址。尽管Orange当时确认了数据泄露，但表示受影响的仅为非关键应用，且后续Babuk勒索软件组织声称的攻击似乎与2月事件重复，未涉及新数据。

技术分析显示，此次攻击可能针对Orange的关键信息系统，攻击者可能利用了未公开的漏洞或复杂的技术手段。目前，Orange未归因于特定黑客组织，但类似攻击模式与近期针对全球电信运营商的网络间谍活动有相似之处。法国国家信息系统安全局（ANSSI）此前警告，电信行业面临来自国家支持的威胁行为者针对基础设施的间谍活动，凸显了电信运营商在网络安全防护上面临的严峻挑战。

Orange作为法国最大的电信运营商，服务于欧洲、非洲和中东的2.94亿客户（包括2.56亿移动用户和2200万固定宽带用户），其年收入达403亿欧元。此次事件不仅对Orange的运营造成直接影响，也为全球关键基础设施提供商敲响了警钟。Orange也建议客户密切关注他们官方通讯，获取服务恢复的最新信息，并采取必要的网络安全预防措施。

参考链接：

https://gbhackers.com/orange-hit-by-cyberattack/

疑似诺基亚内部网络遭黑客入侵，涉及94,500名员工敏感数据

近日，网络安全媒体报道称，一个自称“Tsar0Byte”的网络犯罪团伙通过暗网论坛DarkForums宣称，他们成功利用第三方承包商的系统漏洞入侵了诺基亚的内部网络。这起事件可能导致超过94,500名诺基亚员工的敏感信息暴露，估计将成为近年来影响这家电信巨头的最严重数据泄露事件之一。攻击者声称获取了完整的员工目录，包括姓名、公司电子邮件、电话号码、部门信息、职位、员工ID号，以及LinkedIn个人资料痕迹、内部参考资料、企业层级结构、部分内部文档和与合作伙伴相关的日志。这些数据的泄露不仅可能被用于精准钓鱼攻击或身份欺诈，还可能暴露诺基亚的内部业务流程，为后续更复杂的网络攻击埋下隐患。

根据黑客Tsar0Byte描述，入侵活动是通过攻击与诺基亚有直接网络连接的第三方承包商实现的。该承包商负责为诺基亚开发工具，其系统可能存在未修补的软件漏洞或配置错误，例如默认凭据或未更新的服务器软件。攻击者利用这些漏洞获得初步访问权限后，可能通过权限提升技术进一步深入诺基亚的内部网络，窃取大量敏感数据。虽然目前没有证据表明客户数据受到影响，但泄露的员工信息和内部资源可能为后续社会工程攻击或凭据填充攻击提供了可乘之机。

值得注意的是，这并非诺基亚首次因第三方安全问题遭遇数据泄露。早在2024年11月，另一名黑客“IntelBroker”曾声称通过类似方式，利用第三方承包商的SonarQube服务器默认凭据访问了诺基亚的Python项目在内的多项数据。此次Tsar0Byte的攻击手法与之类似，均选择供应链中的薄弱环节作为突破口，表明诺基亚的第三方供应链可能存在系统性安全隐患。

网络安全专家分析指出，此次事件暴露出大型科技企业在第三方供应商安全管理上的严重不足。许多企业虽然自身网络安全防护体系较为完善，却往往忽视了对合作厂商的权限管控和定期审计，使得黑客能够通过“旁路”轻松突破防线。专家建议，企业应当建立严格的供应链安全评估机制，限制第三方系统的网络访问权限，并强制要求合作伙伴实施多因素认证等基础防护措施。

截至发稿时，诺基亚尚未就此次事件的具体细节和影响范围发布官方声明，但已启动内部调查程序。网络安全社区正在密切监控暗网数据交易平台的动向，以评估泄露信息的实际扩散风险。此次事件不仅对诺基亚的企业声誉构成挑战，也为全球科技行业敲响了供应链安全的警钟。未来，如何有效管理第三方风险，或将成为企业网络安全战略的核心议题之一。

参考链接：

https://databreaches.net/2025/07/31/hackers-allegedly-breach-nokias-internal-network/

新型Konfety安卓版恶意软件威胁技术升级

近日，网络安全研究人员发现了一种名为Konfety的安卓版恶意软件以其高度复杂的规避技术和多层次混淆手段卷土重来，成为移动安全领域的重大威胁。据研究人员的最新分析，Konfety通过伪装成合法应用、利用动态代码加载和多层混淆技术，成功绕过传统检测机制，实施广告欺诈并窃取用户敏感信息，给安卓设备用户带来严重的隐私和财务风险。

Konfety恶意软件并非全新威胁，而是早期广告欺诈活动中已知恶意软件的进化版本。其历史可以追溯到依赖CaramelAds SDK的广告欺诈活动，特征包括弹出用户协议窗口和特定的正则表达式模式“@injseq”，显示出设计上的连续性。然而，最新变种在规避检测方面展现了显著的技术升级。Konfety通过模仿Google Play商店中的合法应用，伪装成无害的软件分发至第三方应用市场，吸引用户下载。这些“恶意仿制克隆”应用表面上提供正常功能，但实际上暗藏恶意逻辑，旨在静默渲染广告、安装未经授权的应用并重定向用户至恶意网站。

从技术角度来看，Konfety的核心规避策略依赖于运行时注入和动态代码加载。恶意软件的APK文件包含一个主DEX文件，负责初始设置，随后将控制权移交至隐藏的加密次级DEX文件。这种分离设计使得常规静态分析工具难以捕捉到完整的恶意行为。次级DEX文件在运行时解密并加载，包含未在AndroidManifest.xml中声明的隐藏服务和组件，进一步增加了分析难度。此外，Konfety通过设置APK文件的通用标志位“bit 0”伪装为加密文件，误导分析工具弹出密码提示，从而阻碍或延迟逆向工程。更为复杂的是，Konfety使用BZIP压缩格式（0x000C）存储关键文件，这种格式不受常见工具如APKTool和JADX支持，导致分析失败。PolySwarm的分析师指出，这种基于压缩的混淆手段与2024年4月卡巴斯基报告中提到的SoumniBot恶意软件有相似之处，显示出安卓恶意软件在规避技术上的持续演进。

Konfety的恶意行为不仅限于广告欺诈。它能够根据受害者的地理位置调整行为，通过地理围栏技术针对特定地区执行差异化操作。安装后，Konfety会隐藏其应用图标和名称，进一步降低被用户察觉的可能性。它通过CaramelAds SDK静默加载广告，窃取设备信息如已安装应用、网络配置和系统参数，并将这些数据回传至远程服务器。虽然Konfety目前未被归类为间谍软件或远程访问工具（RAT），但其隐秘操作和数据收集能力仍对用户隐私构成显著威胁，可能导致未经授权的财务损失。

参考链接：

https://blog.polyswarm.io/konfety-android-malware

美国连锁超市Dollar Tree遭遇INC勒索软件攻击，1.2TB敏感数据遭泄露

近日，美国知名折扣零售巨头Dollar Tree及其子公司Family Dollar证实遭遇INC勒索软件团伙的大规模网络攻击，导致1.2TB敏感数据泄露。根据网络安全研究机构披露，INC勒索软件组织于攻击得手后在其暗网数据泄露站点公布了部分被盗文件截图作为证据。泄露数据涵盖企业运营核心信息，包括员工个人身份信息（如姓名、地址、社会安全号码）、财务审计报告、电子邮件通信记录、合同文档以及涉及供应链厂商的商业机密。值得注意的是，部分数据涉及第三方服务商，表明攻击者可能通过渗透合作网络横向突破了Dollar Tree的防御体系。

图 3 INC 勒索软件组织暗网泄露网站截图

技术分析显示，INC勒索软件组织此次采用了日益流行的"双重勒索"策略。攻击者首先利用钓鱼邮件或未修补的系统漏洞植入恶意软件，通过横向移动在企业内网中获取域管理员权限，随后对文件进行批量加密并窃取数据。为最大化施压效果，该组织还在加密数据的同时威胁将公开敏感信息，这种"数据绑架"模式使得受害企业即便恢复备份仍面临声誉和法律风险。安全专家指出，泄露样本中出现的SQL数据库文件和内部通信日志表明，攻击者可能通过暴露在公网的薄弱接口（如VPN或远程桌面协议）实现了初始入侵。

Dollar Tree官方声明承认正在与网络安全公司及执法部门合作调查事件影响范围，但拒绝透露是否支付赎金。此次事件恰逢该零售商进行大规模供应链整合之际，分析人士担忧泄露的供应商信息可能被用于针对上下游企业的次级攻击。目前已有至少三个州的监管机构启动消费者数据保护审查程序，预计后续将引发集体诉讼。

参考链接：

https://hackread.com/inc-ransomware-1-2tb-data-breach-at-dollar-tree/

Gunra勒索软件组织推出高效Linux变种

2025年7月29日，趋势科技发布研究报告，揭示Gunra勒索软件组织推出了一款Linux变种，该变种凭借加速且可定制的加密功能，借助先进的跨平台策略扩大了攻击范围。Gunra勒索软件的Linux变种拓宽了该组织的攻击面，表明这个新兴组织有意超越其最初的攻击范围。此变种具备诸多显著特性，包括最多可并行运行100个加密线程、支持部分加密，能让攻击者控制每个文件的加密比例，还可选择将经RSA加密的密钥存储在单独的密钥库文件中。

自2025年4月首次被发现以来，Gunra勒索软件已对巴西、日本、加拿大、土耳其、韩国、中国台湾地区和美国的企业发起攻击，受害者涵盖制造业、医疗健康、信息技术、农业以及法律和咨询等多个行业。今年5月，该勒索软件组织因涉嫌从迪拜一家受害医院泄露40TB的数据而登上新闻头条。研究人员通过威胁情报数据检测到Gunra勒索软件在土耳其、中国台湾地区、美国和韩国的企业活动，显示其试图攻击政府组织以及医疗健康、制造业和交通运输等行业的企业。同时，Gunra勒索软件的泄露网站声称已成功攻击来自巴西、日本、加拿大、土耳其和美国的企业，涉及制造业、法律和咨询、医疗健康、信息技术及农业等行业，自4月首次出现以来，该集团已在其泄露网站上公布并声称有14个受害者。

Gunra勒索软件于2025年4月首次出现，当时的攻击活动针对Windows系统，所采用的技术受到臭名昭著的Conti勒索软件的启发。研究人员对勒索软件领域的监测发现，Gunra背后的攻击者已推出Linux变种，这标志着他们朝着跨平台攻击的战略方向迈进。Gunra勒索软件的Linux变种在运行时需要多个参数。若未提供任何参数，它会显示使用说明；若缺少某个必需参数，则会提示用户提供缺失的输入后再继续运行。执行时，该Linux变种还会在控制台显示其活动日志。

在多线程加密方面，Gunra勒索软件的Linux变种需要进行配置以指定用于加密的线程数量，上限为100。研究人员的调查证实，Gunra能够成功利用多达100个加密线程。虽然其他勒索软件组织的有效载荷也具备多线程加密功能，但通常是固定的，且基于受害者机器上可用的处理器数量。也有其他一些勒索软件允许配置线程数量，如BERT勒索软件，但据观察它们最多只允许50个同时运行的线程。而此次Gunra的更新兼具可配置性和更多的加密线程数量，使其成为一个强大的新变种。该勒索软件会创建一个等待循环，防止自身终止，直到所有加密线程完成任务，它每10毫秒检查一次是否还有加密线程在运行，一旦所有线程完成加密任务，便终止执行。此外，它还具备spawn_or_wait_thread函数，用于管理同时可加密的文件数量，当要加密文件时，该函数会首先检查是否已达到执行时设定的最大加密线程数量。

在加密算法上，该勒索软件在运行时需要的一个参数是包含RSA公钥的PEM文件的路径。它结合了RSA和ChaCha20作为加密算法，会生成随机的加密材料，包括随机的32字节ChaCha20密钥、12字节的nonce和256字节的填充数据。然后解析PEM文件以获取RSA公钥，用于加密生成的加密材料。在实际的文件加密中，它使用带有生成的密钥和nonce的ChaCha20流密码，以1MB块为单位加密文件数据。

研究人员指出，新发现的Gunra勒索软件Linux变种显著扩大了该勒索软件组织的攻击范围，表明其明确有意在原有范围之外进行调整和扩张。这种向Linux环境的转变是勒索软件领域最新趋势之一：通过跨平台化来扩大攻击范围，增加潜在受害者数量。与Windows版本不同，Linux变种完全跳过投放勒索信，而是专注于快速且可配置的文件加密，包括将RSA加密的密钥保存在单独的密钥库文件中的选项。

参考链接：

https://www.trendmicro.com/en_us/research/25/g/gunra-ransomware-linux-variant.html