北韩黑客组织Kimsuky的最新攻击行动

主要观察要点

• 北韩黑客组织Kimsuky最近利用新型Go语言的恶意软件进行攻击。
• 使用的恶意程序包括Troll Stealer和GoBear，专门针对SSH、浏览器和系统资讯。
• Kimsuky还窃取了在南韩合法公司D2Innovation Co.签署的GPKI证书，显示其攻击目标可能是公共和行政机构。

最近，北韩国家赞助的黑客组织，也被称为APT43、Emerald Sleet和VelvetChollima，采用了新型的Go语言恶意软件Troll Stealer和GoBear。根据的报导，Kimsuky使用了一个恶意的安装程序，伪装成南韩公司SGA Solutions的安全程式安装器，以便于部署TrollStealer。这款恶意软件能够外泄SSH、浏览器和系统资讯，S2W的报告揭示了这一情况。

此外，这款恶意软件还窃取了南韩政府发放的GPKI证书，而该证书则是由D2InnovationCo.合法签署的，这表明其可能针对全国的公共和行政机构进行攻击。研究结果还将Kimsuky与GoBear后门程序相联系，后者使用了类似的证书，并与该组织的BetaSeed恶意软件命令有重叠。S2W指出：「值得注意的是，GoBear新增了SOCKS5代理功能，而这在Kimsuky组织的后门恶意软件中是之前不支持的。」

小结 ：这些新型的攻击手段不仅展示了Kimsuky在黑客技术上的进步，还可能对南韩的网络安全构成重大威胁，特别是在针对公共机构的情况下。