朝鮮黑客對于攻擊美國相關(guān)機(jī)構(gòu)樂此不疲，這次瞄準(zhǔn)美國國防和航空航天業(yè)。

新一輪攻擊

邁克菲(McAfee)的安全專家發(fā)現(xiàn)，朝鮮黑客針對美國國防和航空航天業(yè)，發(fā)起了新的攻擊活動。他們利用假的工作信息來欺騙求職者，并損害組織機(jī)構(gòu)的網(wǎng)絡(luò)。這個攻擊行為被稱為“北極星行動”，在2020年3月下旬至2020年5月期間十分活躍。

黑客發(fā)布的虛假職位信息主要針對特定的美國國防計劃和團(tuán)體：

• F-22戰(zhàn)斗機(jī)計劃
• 國防，太空與安全(DSS)
• 太空太陽能電池用光伏
• 航空綜合戰(zhàn)斗機(jī)集團(tuán)
• 軍用飛機(jī)現(xiàn)代化計劃

研究人員注意到，這次攻擊中使用的基礎(chǔ)設(shè)施和TTP(技術(shù)，戰(zhàn)術(shù)和程序)與朝鮮黑客組織HIDDEN COBRA的攻擊方式一致。黑客用虛假的工作計劃作為誘餌，向求職者發(fā)送誘導(dǎo)性的郵件。，此外，幕后的黑客正在利用多個歐洲國家的受損基礎(chǔ)架構(gòu)來托管其C2基礎(chǔ)架構(gòu)，并將惡意軟件發(fā)送給目標(biāo)。

值得注意的是，這次攻擊涉及的TTP，也與2017年和2019年針對關(guān)鍵軍事和國防技術(shù)的攻擊活動相似。

分析表明，今年的攻擊活動目的之一，是在受害者的機(jī)器上安裝數(shù)據(jù)收集注入器。這些DLL注入器可以從受害者的機(jī)器中收集基本信息，以便識別受害者。有報告稱，從目標(biāo)機(jī)器收集的數(shù)據(jù)，有助于對目標(biāo)價值進(jìn)行分類。 McAfee ATR注意到，在2020年的競選活動中，攻擊者也使用了幾種不同類型的注入器。不過，由于冠狀病毒的持續(xù)影響，這項攻擊的具體影響目前尚未可知。

持續(xù)攻擊歐美的朝鮮黑客

近幾年，隨著兩國關(guān)系降溫，朝鮮黑客對于美國相關(guān)機(jī)構(gòu)或企業(yè)的攻擊已成為常態(tài)。2017年，朝鮮黑客疑似針對美國國防承包商加大攻擊力度，試圖獲取目標(biāo)公司知識產(chǎn)權(quán)，包括部署在朝鮮半島的武器系統(tǒng)。2018年，美國聯(lián)邦調(diào)查局和國土安全部專門聯(lián)合發(fā)布了一份技術(shù)警報，詳細(xì)介紹了朝鮮政府黑客組織Hidden Cobra正在使用兩款最新發(fā)現(xiàn)的惡意軟件。

此外，除了與美國的暗中較量，朝鮮也曾對歐洲的航空和軍隊發(fā)起攻擊。今年6月，朝鮮的Lazarus 黑客組織被指利用 LinkedIn 攻擊歐洲航空公司和軍隊企業(yè)攻擊者偽裝成工作面試流程的一部分，將聲稱包含公司和崗位其它信息的文件發(fā)給受害者，而實際上這些文檔中包含遭惡意軟件的文件，可導(dǎo)致攻擊者侵入受害者的計算機(jī)。