北朝鮮金蘇基因大規模數據泄露曝光

2025年6月，網路安全界震驚。臭名昭著的朝鮮黑客組織Kimsuky套利定價理論(APT)的一名成員成爲大規模數據泄露的受害者，泄露了數百千字節的敏感內部文件、工具和操作細節。 根據Slow Mist的安全專家，泄露的數據包括瀏覽器歷史記錄、詳細的釣魚活動日志、自定義後門和攻擊系統的手冊，如TomCat內核後門、修改過的Cobalt Strike信標、Ivanti RootRot漏洞，以及像Toybox這樣的Android惡意軟件。

兩個被攻破的系統與黑客“KIM” 此次泄露與一名名爲“KIM”的個人操作的兩個被攻陷系統相關——一個是Linux開發工作站(Deepin 20.9)，另一個是一個公開可訪問的VPS服務器。

Linux系統很可能用於惡意軟件開發，而VPS則托管釣魚材料、假登入門戶和指揮與控制(C2)基礎設施。 泄露是由自稱爲“Saber”和“cyb0rg”的黑客實施的，他們聲稱已經盜取並發布了兩個系統的內容。雖然一些證據將“KIM”與已知的Kimsuky基礎設施聯繫在一起，但語言和技術指標也暗示了可能的中國關聯，使得真正的來源不確定。

網路間諜活動的悠久歷史 Kimsuky 自 2012 年以來一直活躍，並與朝鮮的主要情報機構——偵察總局有關。它長期以來專注於針對政府、智囊團、國防承包商和學術界的網路間諜活動。 在2025年，其活動——例如DEEP#DRIVE——依賴於多階段攻擊鏈。它們通常以ZIP檔案開始，其中包含僞裝爲文檔的LNK快捷文件，當這些文件被打開時，會執行PowerShell命令，從雲服務（如Dropbox）下載惡意有效載荷，利用誘餌文檔以顯得合法。

高級技術和工具 在2025年春季，Kimsuky 部署了一種混合了 VBScript 和 PowerShell 的代碼，隱藏在 ZIP 壓縮文件中，以便： 記錄按鍵 竊取剪貼板數據 從瀏覽器中獲取加密貨幣錢包密鑰 ( Chrome, Edge, Firefox, Naver Whale ) 攻擊者還將惡意 LNK 文件與 VBScripts 配對，這些 VBScripts 執行 mshta.exe 以直接將基於 DLL 的惡意軟件加載到內存中。他們使用自定義的 RDP Wrapper 模塊和代理惡意軟件來實現隱祕的遠程訪問。 像forceCopy這樣的程序從瀏覽器配置文件中提取憑據，而不會觸發標準密碼訪問警報。

利用可信平台 Kimsuky 濫用了流行的雲和代碼托管平台。在 2025 年 6 月針對韓國的釣魚攻擊活動中，私人 GitHub 倉庫被用來存儲惡意軟件和被盜數據。

通過通過Dropbox和GitHub傳遞惡意軟件和提取文件，該組織能夠在合法的網路流量中隱藏其活動。

#NorthKoreaHackers , #網路攻擊 , #CyberSecurity , #釣魚詐騙 , #世界新聞

保持領先一步 – 關注我們的個人資料，及時了解加密貨幣世界中的一切重要信息！ 注意： ,,本文中提供的信息和觀點僅用於教育目的，不應在任何情況下視爲投資建議。這些頁面的內容不應被視爲財務、投資或任何其他形式的建議。我們提醒您，投資加密貨幣可能存在風險，並可能導致財務損失。“