Hunt.io与Acronis威胁研究团队的联合调查,揭开了支撑朝鲜网络攻击行动的复杂且相互重叠的基础设施网络。这项研究深入剖析了朝鲜的网络作战架构,揭示了其内部间谍活动、金融窃取与潜在破坏行动相互交织的复杂生态。
威胁组织间的资源共享
该联合报告指出,外界通常被视为独立实体的不同朝鲜威胁组织,如Lazarus、Kimsuky和Bluenoroff,实际上共享着一套统一且高效的后勤网络资源。网络安全领域以往常根据攻击目标对这些组织进行简单分类,但实际情况更为复杂。调查发现了它们之间存在的务实资源共享,这模糊了组织间的传统界限。
报告明确指出:“Lazarus、Kimsuky等组织及其下属团体共同构成了朝鲜的威胁生态,各自执行从间谍活动、金融操作到破坏性行动等不同任务。尽管各组织的行动模式和动机存在差异,但它们经常共享凭证窃取工具等工具包,表现出相似的基础设施构建模式,并依赖类似的攻击诱饵。”
基础设施测绘的技术突破
本次调查超越了常规的恶意软件分析,将重点放在了维持这些攻击行动的服务器和网络基础设施上。研究人员成功发现了“此前未被公开关联的运营资产集群”,从而揭示了驱动朝鲜黑客行动的底层机械结构。
重要的技术发现包括:
- 活跃工具部署服务器:作为投放恶意软件的核心枢纽节点。
- 凭证窃取环境:用于大规模收集各类登录信息的专用基础设施。
- FRP隧道节点:用于隐藏真实流量、绕过网络防火墙的专用服务器。
- 证书关联基础设施:通过共享的SSL/TLS证书相互连接的服务器网络,这项技术与网络安全中的加密通信验证机制紧密相关。
“这些发现有助于勾勒出朝鲜作战基础设施的不同部分如何在各类行动中持续交叉使用,并为防御者提供了更清晰的视角,以了解这些攻击者所依赖的基础设施习惯。”
技术追踪与防御启示
本项研究的一个关键技术突破在于能够从一个已知的威胁资产出发,关联并发现整个未知的服务器集群。例如,通过分析特定主机(如报告中提及的Hostwinds LLC节点)的数据,研究人员追踪到了与臭名昭著的子团体Bluenoroff相关的活动连接,该团体以针对金融机构和加密货币交易所的攻击而闻名。
报告为防御方指出了一个关键经验:朝鲜攻击者具有明显的“行为惯性”。报告指出:“纵观其多年来的多次行动,朝鲜威胁行为者遵循着一套相对一致的操作模式,这使得尽管其恶意软件和诱饵不断演变,但其部分活动仍可被检测和关联。”
通过对网络行为模式进行系统性地绘制与关联分析,Hunt.io和Acronis的研究为安全社区提供了一个更清晰的蓝图,有助于更好地预测和阻断这个隐士王国发起的下一波网络攻击。
参考来源:
Shadows of the North: Unmasking the Sprawling Cyber Infrastructure of the DPRK
https://securityonline.info/shadows-of-the-north-unmasking-the-sprawling-cyber-infrastructure-of-the-dprk/ | 
发表于 3 小时前
|
查看: 4|
回复: 0
