根據(jù)McAfee近日發(fā)布的報(bào)告指出，全球新冠病毒大流行期間，朝鮮黑客用虛假工作機(jī)會(huì)瞄準(zhǔn)美國(guó)國(guó)防和航空航天領(lǐng)域，以期感染那些尋求更好工作機(jī)會(huì)或晉升機(jī)會(huì)的員工。

[[335845]]

報(bào)告透露，這個(gè)代號(hào)“北極星行動(dòng)”的攻擊活動(dòng)始于3月下旬，持續(xù)到2020年5月。

圖片來源：McAfee

McAfee認(rèn)為，“北極星行動(dòng)”與此前的“隱秘眼鏡蛇”(Hidden Cobra，美國(guó)政府對(duì)朝鮮黑客組織的統(tǒng)稱)組織使用了相似的基礎(chǔ)設(shè)施和TTP(技術(shù)、戰(zhàn)術(shù)和程序)。

用工作機(jī)會(huì)作誘餌

邁克菲表示，“北極星行動(dòng)”使用的是普通的魚叉式網(wǎng)絡(luò)釣魚電子郵件攻擊，誘使收件人打開包含所謂工作機(jī)會(huì)的誘騙文件。

McAfee首席科學(xué)家兼高級(jí)首席工程師克里斯蒂安·比克(Christiaan Beek)表示，在過去的2017年和2019年，許多黑客團(tuán)體都喜歡使用這種套路，而朝鮮黑客也曾在針對(duì)美國(guó)國(guó)防部門的攻擊中使用過這種誘惑戰(zhàn)術(shù)。

美國(guó)政府認(rèn)為，2017年的朝鮮黑客攻擊事件中，攻擊者也曾參與WannaCry勒索軟件的開發(fā)。

但是2020年的攻擊也有所不同，攻擊者開始通過社交網(wǎng)絡(luò)而不是電子郵件來接觸受害者。

下圖概述了惡意軟件從接觸到運(yùn)作的整個(gè)感染鏈，McAfee報(bào)告中則提供了詳盡的技術(shù)細(xì)節(jié)。

圖片來源：McAfee

但是，有關(guān)這項(xiàng)運(yùn)動(dòng)的效果仍存在疑問。鑒于冠狀病毒大流行期間的勞動(dòng)力流動(dòng)一直處于歷史低位，目前尚不清楚朝鮮黑客通過采用“新工作”主題來吸引受害者是否收到預(yù)期效果。

遺憾的是，McAfee表示自己無法訪問投放誘餌的釣魚電子郵件，僅設(shè)法恢復(fù)了被劫持的文檔并消除了惡意軟件有效載荷。

結(jié)果，McAfee無法準(zhǔn)確確定哪些美國(guó)國(guó)防或航空公司是這些攻擊的目標(biāo)，因此無法通知用戶。

McAfee表示，唯一能確定的是虛假職位的性質(zhì)(高級(jí)設(shè)計(jì)工程師和系統(tǒng)工程師)，以及黑客試圖“招募”以下國(guó)防計(jì)劃的相關(guān)人員：

• F-22戰(zhàn)斗機(jī)計(jì)劃
• 國(guó)防、太空與安全(DSS)
• 太空太陽能電池用光伏技術(shù)
• 航空綜合戰(zhàn)斗機(jī)集團(tuán)
• 軍用飛機(jī)現(xiàn)代化計(jì)劃

McAfee首席科學(xué)家Raj Samani昨天表示，已按照例行程序聯(lián)系美國(guó)網(wǎng)絡(luò)安全機(jī)構(gòu)，將該攻擊事件通知當(dāng)局。

攻擊的主要目的是收集情報(bào)

McAfee的報(bào)告指出，這些攻擊的要點(diǎn)也很明確，“北極星行動(dòng)”戰(zhàn)役顯然是朝鮮進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)和情報(bào)收集工作的一部分。由于該國(guó)受到嚴(yán)厲的經(jīng)濟(jì)制裁，缺乏自給自足的軍工聯(lián)合體，因此它只能通過竊取所需信息來支持其核武器計(jì)劃和野心。

與此同時(shí)，McAfee還認(rèn)為朝鮮維持其核計(jì)劃的另一種方式是允許其黑客從事“普通”網(wǎng)絡(luò)犯罪獲取經(jīng)費(fèi)并從事洗錢活動(dòng)。安全公司卡巴斯基(Kaspersky)周二發(fā)表了研究報(bào)告，將朝鮮的黑客與一種名為VHD的新型勒索軟件聯(lián)系起來。

在此之前，該黑客組織還與各種網(wǎng)絡(luò)犯罪活動(dòng)相關(guān)，例如BEC商務(wù)郵件攻擊、Magecart攻擊、銀行網(wǎng)絡(luò)搶劫、加密貨幣入侵和詐騙、ATM提款和加密礦僵尸網(wǎng)絡(luò)。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文