朝鲜APT组织使用了一款Google Chrome扩展程序来攻击学术领域。

一个由国家支持的黑客组织使用了Google Chrome扩展程序来感染用户,并从用户的浏览器中窃取密码和Cookies。在网络间谍活动领域中,此次事件或许是第一例。

这是APT(即高级持续性威胁,是民族国家黑客组织的行业术语)第一次使用Chrome扩展程序,但这并不是APT第一次使用浏览器扩展程序,如与俄罗斯政府黑客相关的Turla APT组织曾在2015年使用了Firefox浏览器的扩展程序。

Netscout的ASERT团队在将于今天晚些时候发布的一份报告中公开了细节,该报告表示,至少自2018年5月以来,鱼叉式网络钓鱼活动一直在推动恶意Chrome扩展程序。

黑客通过鱼叉式网络钓鱼电子邮件,使用从合法学术机构复制的网站来诱骗受害者。这些网络钓鱼网站(现已被关闭)提供了一个PDF文档,但阻止用户查看这一文档,并将受害者引导至官方Chrome Web Store页面以安装名为Auto Font Manager的Chrome扩展程序(该程序现已删除)。

Netscout研究人员表示该扩展程序能够窃取cookie和网站密码,但他们也看到了一些受影响账户所转发的邮件。

Netscout的研究人员在接受ZDNet采访时表示,使用此Chrome扩展程序的鱼叉式网络钓鱼活动针对的是学术界,但不愿透露受害者的姓名。

研究人员告诉ZDNet:“我们能够确定的是,三所位于美国的高校和一所位于亚洲的非营利学术机构成为了黑客的攻击目标。”

研究人员在他们的报告中单独补充说:“在众多的高等学校中,很多都拥有生物医学工程方面的专业知识,这可能是黑客发动攻击的动机。”

但在研究最近这次攻击时,研究人员还发现,在此前的一次黑客活动中,黑客通过RDP(远程桌面连接)的方式来黑入大学的网络,该次攻击所使用的基础设施和托管这些网络钓鱼站点的基础设施是一样的。

调查人员还补充说,最近一次攻击活动背后的黑客(Netscout称之为Stolen Pencil)在隐藏他们的追踪记录时非常草率。研究人员表示,他们发现有证据表明该组织可能驻扎在朝鲜。

研究人员说:“Poor OPSEC(网络安全方面的一种开放式平台)让用户发现了打开着的韩语网络浏览器,运行着的英语-韩语的翻译器,以及切换到韩语设置的键盘。”

但是,尽管Netscout研究人员不希望将此活动与特定的朝鲜APT联系起来,但ZDNet昨天向多个行业新闻源展示的Chrome扩展文件的哈希指向了一个我们称为Kimsuky(也称为Velvet Chollima)的网络间谍组织。

2013年卡巴斯基实验室的一份报告提供了将该组织与朝鲜政权联系起来的证据。同一份报告还详细介绍了Kimsuky追求学术目标的倾向,这与最近的黑客活动相同。

至于黑客追求的是什么,Netscout研究人员告诉ZDNet:“他们没有看到任何数据被盗的证据,但是就像任何的入侵活动一样,我们不能完全忽视这种可能性。他们也没有专门用于窃取信息的任何工具或命令,他们专注的是盗取凭证和维护访问权限。”

高等学校一直是民族国家黑客强有力的吸引目标,特别是那些寻求专有资料或未发布研究的黑客。虽然众所周知,中国和俄罗斯的黑客都会定期追踪学术界,但伊朗黑客却一直是最活跃的黑客。

在今年3月初,美国起诉了攻击22个国家中320所高校的伊朗黑客,其中144所高校在美国。黑客窃取的一些研究论文最终发表在了由一些被起诉的黑客运营的付费网站上,这些黑客显然找到了一种方法,可以从由国家赞助的日常黑客攻击活动中获得利润。但这一起诉并未阻止伊朗黑客入侵。

原文作者:Catalin Cimpanu

信息化和软件服务网 - 助力数字中国建设 | 责编:赵曜 左右