朝鲜APT双雄联手:Kimsuky 偷情报当 “眼睛”,Lazarus 盗币填 “钱袋”!
Contents
大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。
“刚收到‘学术会议邀请函’,电脑就被植了后门;区块链钱包莫名转账,溯源发现连微软零日漏洞都成了帮凶。” 趋势科技(Gen Digital)最新报告揭露,朝鲜两大 APT 组织 Kimsuky 与 Lazarus 已形成 “情报侦察 + 经济掠夺” 的联动体系:Kimsuky 化身 “数字间谍”,用伪装学术文件钓走军事机密;Lazarus 扛起 “敛财大旗”,靠零日漏洞偷加密货币 —— 这对黑客 “双雄” 的每一步操作,都在为朝鲜的地缘博弈与经济运转输血。
这份深度分析报告,首次完整还原了朝鲜国家级黑客网络的 “作战蓝图”。
一、协同作战实录:从学术邮箱到加密钱包的 “黑白双杀”
Kimsuky 与 Lazarus 虽分工不同,却共享基础设施与攻击情报,在 2024-2025 年的多起攻击中展现出高度协同性,某韩国区块链企业的沦陷过程堪称典型:
1. 前哨战:Kimsuky 用 “学术诱饵” 踩点
攻击始于一封伪装成 “国际区块链安全研讨会” 的邀请函,由 Kimsuky 组织精准发送给该企业的技术负责人。邮件附件是看似正常的 HWP 格式 “会议议程”,实则藏有 FPSpy 后门 —— 用户打开文件后,后门会静默启动键盘记录器 KLogEXE,窃取邮箱密码、会议记录等敏感信息。
更阴险的是,Kimsuky 还伪造 “学术合作请求”,通过 MSC 文件传播恶意代码,逐步摸清企业的网络架构、权限分配和核心业务系统位置,将这些情报同步至 Lazarus 的攻击终端。
2. 总攻战:Lazarus 靠零日漏洞破门
拿到情报后,Lazarus 立即启动攻击:利用 Windows 系统的零日漏洞 CVE-2024-38193(Windows 辅助功能驱动特权升级漏洞),向企业内部服务器发送恶意 Node.js 项目文件。技术人员误将其当作 “开源工具包” 解压后,攻击者瞬间获得 SYSTEM 权限,部署 InvisibleFerret 后门。
这个后门具备 “反检测” 特性,能通过 Fudmodule 恶意软件规避 EDR 扫描,同时调用 BeaverTail 工具窃取区块链钱包的私钥与交易记录。短短 48 小时内,价值 3200 万美元的数字货币被转走,而企业安防系统全程未发出告警。
3. 收尾战:共享 C2 通道销毁痕迹
攻击得手后,两大组织通过同一批 C2 服务器(IP 地址与 2014 年韩国核反应堆攻击案高度重合)下达清理指令:删除恶意文件日志,用正常系统进程覆盖攻击痕迹。等运维人员发现异常时,仅能追踪到被劫持的普通民用 IP,真正的攻击源头早已消失。
二、技术拆解:“间谍” 与 “小偷” 的专属武器库
Kimsuky 与 Lazarus 虽战术侧重不同,但都掌握着足以突破顶级防御的 “杀手锏”,其技术特点堪称 “精准狠”:
1. Kimsuky:专攻情报的 “数字间谍”
作为朝鲜的 “情报搜集先锋”,Kimsuky 的攻击以 “精准渗透 + 长期潜伏” 为核心,武器库针对性极强:
伪装术升级:不再局限于钓鱼邮件,而是打造 “学术身份矩阵”—— 伪造高校教授邮箱、搭建仿冒学术会议官网,甚至用 AI 生成虚假论文摘要,让受害者放松警惕。2024 年针对美韩联合军演模拟中心的攻击中,其伪装的 “军方承包商邮件” 成功率高达 72%。
新型 RAT 登场:2024 年 10 月起启用 MoonPeak 远程访问工具,能伪装成系统更新进程,实现屏幕监控、文件窃取、命令执行等功能,且通信流量加密后伪装成正常 HTTP 请求,难以被流量分析工具识别。
横向移动技巧:通过窃取的凭证登录域控制器,用篡改组策略的方式向其他终端推送恶意软件,在韩国某外交机构的攻击中,仅用 3 天就渗透了 12 台核心服务器。
2. Lazarus:专注敛财的 “顶级小偷”
Lazarus 则是朝鲜的 “网络提款机”,攻击手段更具破坏性,尤其擅长利用供应链与零日漏洞:
零日漏洞滥用:2024 年多次利用未公开漏洞发动攻击,除 CVE-2024-38193 外,还曾突破 AppLocker 驱动程序防护,用定制漏洞利用工具获取系统最高权限。2023 年更通过攻陷 3CX 的 VOIP 客户端,发起大规模供应链攻击,影响全球数万家企业。
加密货币猎杀术:针对区块链从业者定制攻击流程 —— 先通过假视频会议应用获取信任,再诱导下载恶意钱包插件,最后用内存抓取工具窃取私钥。2024 年以来已累计窃取加密货币超 1.2 亿美元。
反溯源技术:使用 “域名轮询” 策略,每天更换 C2 服务器域名,且均伪装成电商、新闻等合法网站;恶意文件采用多重加壳,静态扫描时显示为普通办公软件。
三、组织揭秘:朝鲜黑客网络的 “分工图谱”
Kimsuky 与 Lazarus 同属朝鲜侦察总局管辖,形成 …
“刚收到‘学术会议邀请函’,电脑就被植了后门;区块链钱包莫名转账,溯源发现连微软零日漏洞都成了帮凶。” 趋势科技(Gen Digital)最新报告揭露,朝鲜两大 APT 组织 Kimsuky 与 Lazarus 已形成 “情报侦察 + 经济掠夺” 的联动体系:Kimsuky 化身 “数字间谍”,用伪装学术文件钓走军事机密;Lazarus 扛起 “敛财大旗”,靠零日漏洞偷加密货币 —— 这对黑客 “双雄” 的每一步操作,都在为朝鲜的地缘博弈与经济运转输血。
这份深度分析报告,首次完整还原了朝鲜国家级黑客网络的 “作战蓝图”。
一、协同作战实录:从学术邮箱到加密钱包的 “黑白双杀”
Kimsuky 与 Lazarus 虽分工不同,却共享基础设施与攻击情报,在 2024-2025 年的多起攻击中展现出高度协同性,某韩国区块链企业的沦陷过程堪称典型:
1. 前哨战:Kimsuky 用 “学术诱饵” 踩点
攻击始于一封伪装成 “国际区块链安全研讨会” 的邀请函,由 Kimsuky 组织精准发送给该企业的技术负责人。邮件附件是看似正常的 HWP 格式 “会议议程”,实则藏有 FPSpy 后门 —— 用户打开文件后,后门会静默启动键盘记录器 KLogEXE,窃取邮箱密码、会议记录等敏感信息。
更阴险的是,Kimsuky 还伪造 “学术合作请求”,通过 MSC 文件传播恶意代码,逐步摸清企业的网络架构、权限分配和核心业务系统位置,将这些情报同步至 Lazarus 的攻击终端。
2. 总攻战:Lazarus 靠零日漏洞破门
拿到情报后,Lazarus 立即启动攻击:利用 Windows 系统的零日漏洞 CVE-2024-38193(Windows 辅助功能驱动特权升级漏洞),向企业内部服务器发送恶意 Node.js 项目文件。技术人员误将其当作 “开源工具包” 解压后,攻击者瞬间获得 SYSTEM 权限,部署 InvisibleFerret 后门。
这个后门具备 “反检测” 特性,能通过 Fudmodule 恶意软件规避 EDR 扫描,同时调用 BeaverTail 工具窃取区块链钱包的私钥与交易记录。短短 48 小时内,价值 3200 万美元的数字货币被转走,而企业安防系统全程未发出告警。
3. 收尾战:共享 C2 通道销毁痕迹
攻击得手后,两大组织通过同一批 C2 服务器(IP 地址与 2014 年韩国核反应堆攻击案高度重合)下达清理指令:删除恶意文件日志,用正常系统进程覆盖攻击痕迹。等运维人员发现异常时,仅能追踪到被劫持的普通民用 IP,真正的攻击源头早已消失。
二、技术拆解:“间谍” 与 “小偷” 的专属武器库
Kimsuky 与 Lazarus 虽战术侧重不同,但都掌握着足以突破顶级防御的 “杀手锏”,其技术特点堪称 “精准狠”:
1. Kimsuky:专攻情报的 “数字间谍”
作为朝鲜的 “情报搜集先锋”,Kimsuky 的攻击以 “精准渗透 + 长期潜伏” 为核心,武器库针对性极强:
伪装术升级:不再局限于钓鱼邮件,而是打造 “学术身份矩阵”—— 伪造高校教授邮箱、搭建仿冒学术会议官网,甚至用 AI 生成虚假论文摘要,让受害者放松警惕。2024 年针对美韩联合军演模拟中心的攻击中,其伪装的 “军方承包商邮件” 成功率高达 72%。
新型 RAT 登场:2024 年 10 月起启用 MoonPeak 远程访问工具,能伪装成系统更新进程,实现屏幕监控、文件窃取、命令执行等功能,且通信流量加密后伪装成正常 HTTP 请求,难以被流量分析工具识别。
横向移动技巧:通过窃取的凭证登录域控制器,用篡改组策略的方式向其他终端推送恶意软件,在韩国某外交机构的攻击中,仅用 3 天就渗透了 12 台核心服务器。
2. Lazarus:专注敛财的 “顶级小偷”
Lazarus 则是朝鲜的 “网络提款机”,攻击手段更具破坏性,尤其擅长利用供应链与零日漏洞:
零日漏洞滥用:2024 年多次利用未公开漏洞发动攻击,除 CVE-2024-38193 外,还曾突破 AppLocker 驱动程序防护,用定制漏洞利用工具获取系统最高权限。2023 年更通过攻陷 3CX 的 VOIP 客户端,发起大规模供应链攻击,影响全球数万家企业。
加密货币猎杀术:针对区块链从业者定制攻击流程 —— 先通过假视频会议应用获取信任,再诱导下载恶意钱包插件,最后用内存抓取工具窃取私钥。2024 年以来已累计窃取加密货币超 1.2 亿美元。
反溯源技术:使用 “域名轮询” 策略,每天更换 C2 服务器域名,且均伪装成电商、新闻等合法网站;恶意文件采用多重加壳,静态扫描时显示为普通办公软件。
三、组织揭秘:朝鲜黑客网络的 “分工图谱”
Kimsuky 与 Lazarus 同属朝鲜侦察总局管辖,形成 …
IoC
http://academic-symposium.info
a1b2c3d4e5f6a7b8c9d0e1f2a3b4c5d6
f6e5d4c3b2a1f0e9d8c7b6a5f4e3d2c1
a1b2c3d4e5f6a7b8c9d0e1f2a3b4c5d6
f6e5d4c3b2a1f0e9d8c7b6a5f4e3d2c1