北朝鲜金苏基因大规模数据泄露曝光

2025年6月，网络安全界震惊。臭名昭著的朝鲜黑客组织Kimsuky套利定价理论(APT)的一名成员成为大规模数据泄露的受害者，泄露了数百千字节的敏感内部文件、工具和操作细节。 根据Slow Mist的安全专家，泄露的数据包括浏览器历史记录、详细的钓鱼活动日志、自定义后门和攻击系统的手册，如TomCat内核后门、修改过的Cobalt Strike信标、Ivanti RootRot漏洞，以及像Toybox这样的Android恶意软件。

两个被攻破的系统与黑客“KIM” 此次泄露与一名名为“KIM”的个人操作的两个被攻陷系统相关——一个是Linux开发工作站(Deepin 20.9)，另一个是一个公开可访问的VPS服务器。

Linux系统很可能用于恶意软件开发，而VPS则托管钓鱼材料、假登录门户和指挥与控制(C2)基础设施。 泄露是由自称为“Saber”和“cyb0rg”的黑客实施的，他们声称已经盗取并发布了两个系统的内容。虽然一些证据将“KIM”与已知的Kimsuky基础设施联系在一起，但语言和技术指标也暗示了可能的中国关联，使得真正的来源不确定。

网络间谍活动的悠久历史 Kimsuky 自 2012 年以来一直活跃，并与朝鲜的主要情报机构——侦察总局有关。它长期以来专注于针对政府、智囊团、国防承包商和学术界的网络间谍活动。 在2025年，其活动——例如DEEP#DRIVE——依赖于多阶段攻击链。它们通常以ZIP档案开始，其中包含伪装为文档的LNK快捷文件，当这些文件被打开时，会执行PowerShell命令，从云服务（如Dropbox）下载恶意有效载荷，利用诱饵文档以显得合法。

高级技术和工具 在2025年春季，Kimsuky 部署了一种混合了 VBScript 和 PowerShell 的代码，隐藏在 ZIP 压缩文件中，以便： 记录按键 窃取剪贴板数据 从浏览器中获取加密货币钱包密钥 ( Chrome, Edge, Firefox, Naver Whale ) 攻击者还将恶意 LNK 文件与 VBScripts 配对，这些 VBScripts 执行 mshta.exe 以直接将基于 DLL 的恶意软件加载到内存中。他们使用自定义的 RDP Wrapper 模块和代理恶意软件来实现隐秘的远程访问。 像forceCopy这样的程序从浏览器配置文件中提取凭据，而不会触发标准密码访问警报。

利用可信平台 Kimsuky 滥用了流行的云和代码托管平台。在 2025 年 6 月针对韩国的钓鱼攻击活动中，私人 GitHub 仓库被用来存储恶意软件和被盗数据。

通过通过Dropbox和GitHub传递恶意软件和提取文件，该组织能够在合法的网络流量中隐藏其活动。

#NorthKoreaHackers , #网络攻击 , #CyberSecurity , #钓鱼诈骗 , #世界新闻

保持领先一步 – 关注我们的个人资料，及时了解加密货币世界中的一切重要信息！ 注意： ,,本文中提供的信息和观点仅用于教育目的，不应在任何情况下视为投资建议。这些页面的内容不应被视为财务、投资或任何其他形式的建议。我们提醒您，投资加密货币可能存在风险，并可能导致财务损失。“