在当今这个超级互联的时代,传统的安全网络边界概念正在迅速瓦解。国家支持的网络活动不再是遥不可及的威胁,它们已成为一种持久、普遍的风险,尤其是对于在政治敏感或战略关键部门运营的组织而言。这些老练的攻击者越来越善于绕过传统防御系统,利用合法工具和我们对数字互动的信任,以惊人的隐蔽性渗透到环境中并收集重要情报。
Aryaka 威胁研究实验室的最新研究揭示了朝鲜网络间谍活动不断演变的本质。在平壤收集地缘政治、军事和经济情报的持久战略需要的驱动下,像 Kimsuky 这样的组织–也有各种别名,包括 APT43、Thallium 和 Velvet Chollima–已经成为这一阴暗领域中高度活跃和精确的操作者。十多年来,Kimsuky 针对韩国政府机构、国防承包商和政策智囊团开展了有针对性的情报搜集行动。这些活动为朝鲜获取政治、军事和技术情报的长期战略提供了支持,鉴于朝鲜在国际上的孤立和持续制裁,这些情报尤其重要。
Kimsuky 活动的与众不同之处在于它将量身定制的社交工程与极其复杂的恶意软件框架巧妙地结合在一起。行动从发送这些恶意 LNK 文件开始,这些文件通常伪装在诱饵文件中,巧妙地模仿公开的韩国政府资料,以增强其合法性,诱使受害者打开这些文件。一旦点击,这些快捷方式文件就会执行高度混淆的脚本,这些脚本会通过受害者机器上已有的可信系统实用程序悄悄发送。这种 “靠天吃饭 “的技术大大减少了恶意软件的足迹,帮助它绕过了传统的基于签名的检测。
一旦成功入侵,恶意软件框架就会开始行动,它具有隐蔽性、持久性和全面的数据渗透能力。它会执行广泛的系统剖析,对被入侵的环境进行细致的编目,以了解其漏洞和潜在的数据存储库。然后,它会窃取凭证和敏感文件,锁定关键用户数据和专有信息。为确保最大限度地收集情报,恶意软件还通过键盘记录和剪贴板捕获来监控用户活动,从而提供源源不断的敏感数据。最后,为了避免被发现,窃取的数据会在标准网络流量中以隐蔽的小段形式外泄,这使得网络监控工具很难将恶意活动与正常网络操作区分开来。这种多层次的方法凸显了 Kimsuky 不断发展的复杂性,以及它对目标组织构成的持续威胁。
通过将这一活动置于 Kimsuky 行动的大背景下,本文说明了朝鲜的网络活动是如何成为更大的国家战略的一部分。虽然有些行动包括出于经济动机的行为–如窃取加密货币钱包–但这些活动仍然服务于更广泛的国家利益。与传统意义上的网络犯罪活动相比,Kimsuky 的活动不是机会主义或利益驱动型的,而是持续性的、有针对性的,在战略上与朝鲜政权的地缘政治和经济目标相一致。
随着云技术、远程工作和互联供应链的兴起,企业环境变得越来越分散,传统的基于外围的防御已不再足够。本文强调迫切需要以身份为中心的现代安全模式,如零信任和安全访问服务边缘(SASE)。这些模式提供了更高的可视性和控制能力,可抵御复杂的民族国家威胁,包括 Kimsuky 带来的威胁,突出了采用这些战略的紧迫性和重要性。
点击此处 阅读完整的威胁研究报告