资安从业人员被骇客盯上的情况,过往传出数起网路钓鱼攻击行动,但大致上可分成2种型态的诱饵,其中一种是针对想要求职、争取工作的求职者而来,假借提供相关职缺引诱他们上当;另一种则是宣称要共同进行资安研究,提供概念性验证程式码(PoC),对研究人员散布恶意程式。
而最近北韩骇客ScarCruft的攻击行动引起资安厂商注意,原因是这些骇客另有目的,打算针对资安人员规画新一波攻击行动。
【攻击与威胁】
但在分析恶意程式之后,研究人员发现骇客竟然是在进行测试,真正的攻击目标,很有可能是研究人员及资安业界的相关专业人士,因为这些骇客以提供另一个骇客组织Kimsuky的调查资料做为诱饵,意图散布后门程式RokRAT。 骇客先是冒充东国大学的北韩研究所(Institute for North Korean Studies,INKS)成员寄送钓鱼邮件,当中包含ZIP压缩档附件,内含9个档案,其中有7个是无害的Hangul Word Processor(HWP)及PowerPoint文件,其余则是恶意的Windows捷径档案(LNK),这些LNK档案大小高达48 MB,一旦收信人依照指示开启,就有可能触发一系列的感染链,执行PowerShell程式码于受害电脑植入RokRAT。
其中最多的是腾讯,总共约有15亿笔,其次是微博的5亿笔,MySpace、X则有3.6亿、2.8亿笔。除了各式的云端服务帐号,研究人员也发现内含美国、巴西、德国、菲律宾、土耳其等国家的政府组织资料。 这些资料的规模庞大,很有可能来自逾3,800起资安事故收集而得,远超过Cybernews外泄资料库统整的2,500起资安事故、150亿笔记录,研究人员推测,MOAB当中很有可能存在过往尚未公布的外泄个资。