韩国网络安全公司ESTsecurity2021年8月3日表示,近期在韩国国内接连发现利用电子邮件PDF文档附件的高级可持续性威胁(APT)攻击,这些攻击疑似是朝鲜黑客组织“Thallium”所为。 一、事件始末
据韩国ESTsecurity公司透露,自今年5月份开始,某黑客组织冒充韩国民间团体的名义,声称主办“和平经济首席执行官课程”,向韩国外交、安保、国防和统一等部门的前任、现任官员等发送附有PDF文件的资料邮件。若收件人点击该文件,被事先植入在文件中的恶意代码将随即启动,进而窃取收件人的个人信息或企图远程控制相关电脑。这些攻击疑似是由有朝军侦察总局背景的黑客组织“Thallium”发起。据推测,该组织之前主要利用微软文档处理软件Word(扩展名为doc、docx)和韩国使用的HWP文档作为载体进行黑客攻击,而近期利用安全性较高的PDF文档的漏洞企图发动新的网络攻击。
携带病毒的PDF文档首页
(图片来源:韩国ESTsecurity公司)
二、作案手法分析
此次事件中,朝鲜黑客组织在电子邮件附件中添加携带病毒的PDF文档,冒充国内特定公司法人举办的“第4期和平经济首席执行官课程”介绍资料,谎称打开文件就能看到相关介绍资料。如果收件人打开文件,就会启动隐藏在PDF文件内部的脚本代码。该代码是通过执行以Base64形式编码的Shelcode命令,来启动隐藏的病毒载入文件。之后,木马病毒与“tksRpdl.atwebpages[.com] com”命令和控制(C&C)服务器进行通信,并按照顺序执行攻击者指定的命令,根据情况,可以追加安装病毒文件,试图窃取个人敏感信息或进行远程控制等。经确认,如果将用于攻击的C2服务器英文域名地址替换为韩文键盘,就会转换为日本单词“产经(tksRpdl)”,并且还发现使用过“刺身(tktlal)”的域名。另外,在此次攻击中还发现了“Thallium”组织在类似的攻击中多次使用的“WebKitFormBoundarywhpFxMBe19csjFn”通信字符串。
PDF中隐藏的恶意木马脚本
(图片来源:韩国ESTsecurity公司)
此外,朝鲜黑客为了躲避对攻击行为的探测和分析环境,会查询被感染的电脑是否正在使用的韩国安全程序,并确认是否是虚拟(VMware)环境等,表现得非常谨慎。
三、今年以来“Thallium”组织活动频繁
朝鲜黑客组织“Thallium”备受国际社会关注,曾因2019年12月被美国微软公司起诉而“名声大噪”。今年以来,“Thallium”组织一直试图以韩国外交、国安、统一、国防领域的前任和现任官员以及朝韩领域问题专家为主要攻击对象,积极从事网络间谍活动。据韩联社3月10日报道,韩美联合指挥所演习于3月8日开始,韩国国内学术界高度关注此次演习,朝鲜借机发起大规模的鱼叉式网络钓鱼攻击,韩国媒体怀疑这些攻击的幕后嫌疑对象正是朝鲜黑客组织“Thallium”。韩国网络安全公司ESTsecurity3月10日表示,近期针对韩国国内韩朝问题专家的黑客攻击较为频繁。这些黑客冒充媒体、政策研究所或学会等机构向特定个人发送虚假约稿邀请函、学术会议参加申请书、付款请求书、个人信息使用同意书等含有恶意代码的文件。部分约稿函向收件人发送“拜登可能采取的遏制朝核外交措施”、“拜登对韩美联演的看法”等内容的链接,引诱收件人点击。韩国网络安全公司ESTsecurity2021年6月25日表示,近期在国内接连发现冒充韩国政府部门和机构的网络攻击,这些攻击疑似是朝鲜黑客组织所为,该公司呼吁有关各方对此保持警惕。
疑似朝鲜黑客冒充韩国统一部和统一研究院向韩国政府机构发送钓鱼邮件
(图片来源:韩联社/韩国网络安全公司ESTsecurity)
韩国ESTsecurity公司发现,朝鲜黑客组织分别于6月22日和24日冒充韩国统一部和韩国统一研究院向韩国政府机构发送钓鱼邮件。该邮件内容中包含所谓“朝鲜劳动党八届三中全会分析报告”的网络链接,诱导收件人点击。若收件人点击链接后输入账号密码,该账号将被盗号。据推测,此轮攻击或由疑似有朝军侦察总局背景的黑客组织“Thallium”或“Kimsuky”发起。此外,经确认,在2021年5月韩美首脑会谈期间,“Thallium”组织曾试图以韩国外交、安保、统一部门及对朝领域专家为对象,利用DOC文件植入病毒的方式进行黑客攻击。
四、此次“Thallium”攻击特点分析
从以往“Thallium”组织的攻击活动来看,我们可以一句话总结出其攻击特点,即在敏感时间节点对特定对象进行鱼叉式网络钓鱼攻击。然而此次攻击行动,与以往相比略有不同。之前“Thallium”组织一般利用微软文档处理软件Word(扩展名为doc、docx)和韩国使用的HWP文档作为攻击载体进行黑客攻击,而此次利用PDF漏洞进行黑客攻击的事例尚属首次。韩国ESTsecurity公司相关人士分析认为,一般来说,PDF格式的文档在安全性方面被普遍认为是很高的,因此这就会导致用户在接收到携带病毒的电子邮件时疏忽大意、放松警惕,忘记遵守相关保密规定,因而更容易感染病毒。同时,该相关人士还提醒,此次攻击中被利用的PDF漏洞也会被用于其他攻击,因此以后要特别注意PDF文件也不安全。”
五、韩国采取的对策
韩国网络安全公司ESTsecurity表示,为了能在杀毒软件ALYac中检测到新发现的病毒文件,目前已经完成了紧急更新,正在与相关部门紧密合作,采取措施防止损失进一步扩大。因在PDF编辑器“ezPDF”的部分版本中发现了漏洞,韩国互联网振兴院8月9日建议删除旧版本并更新至安全版本。韩国软件公司Unidocs开发的ezPDF是个人用户(企业、机关收费)可以免费使用的PDF编辑工具,此次发现漏洞的是ezPDF Reader 2.0~3.0版本。另外,在韩国政府部门网站上可以在网页上直接查看PDF文件的查看器“ezPDF ReaderG4C”也存在漏洞,存在漏洞的版本为2.02.23。
存在漏洞的ezPDF版本
(图片来源:韩国互联网振兴院)
该漏洞类型是可远程执行任意命令(任意执行代码)的漏洞,攻击者可以通过此漏洞远程传播恶性代码,造成额外伤害。但是,企业、机关、教育机构等购买的ezPDF Editor 3.0和naver软件发布的ezPDF Editor 3.0及ezPDF Reader等均无此漏洞。用户应卸载旧版本的ezPDF阅读器,以免损坏。可在任务栏搜索栏中输入搜索词“应用程序和功能”,进入系统设置,选择ezPDF Reader version 2.XX ~ 3.XX,点击卸载按钮。此外,韩国Unidocs公司已在其网站上公开了自动删除该漏洞版本的程序,用户可以下载并运行,之后选择“ezPDF ReaderG4C 2.0.2.23版”,点击删除即可。目前,韩国政府主要公共部门正在删除PDF漏洞版本更新至安全版本。韩国国家情报院根据近期韩国国内网络威胁情况,决定自2021年8月3日8时起,将“公共领域网络危机警报”等级从“正常”提升至“关注”阶段(注:韩国网络危机警报级别分为“正常、关注、谨慎、警惕、严重” )。
(资料来源:韩国联合新闻社、韩国安全新闻网站、韩国《中央日报》网等相关文章)
