“被设计成让人误以为是真实的安全警告”
发现一起冒充微软(Microsoft)安全警告邮件、向韩国用户个人电脑传播恶意代码的网络攻击。
15日,韩国本土安全企业Genians表示,近期疑似由与朝鲜有关联的黑客组织APT37实施的恶意代码“NarwahlRAT”,正在以韩国用户为对象传播。
此次攻击通过一封标题为“因一次性验证码反复产生的安全检查通知”的鱼叉式网络钓鱼邮件实施。邮件发件人显示为“MS账户团队”,但经确认,实际发件人并非微软官方账户。
该邮件通过制造账户被盗及验证码被滥用的焦虑,诱导收件人查看所附安全说明文件。收件人若保存并解压压缩文件,就会出现一个伪装成韩文文档形式的“网络安全注意事项.Ink”文件。攻击者将文件名伪装成正常文档,诱导用户运行,进而安装恶意代码。
Genians表示,恶意代码使用名为“naverwhale”的文件夹作为工作目录,这一点表明其伪装成韩国常用的Naver Whale浏览器,以韩国用户为攻击目标。
考虑到其内部代码还处理与KakaoTalk相关的识别字符串,Genians认为,该恶意代码很可能是针对韩国本土用户环境制作的。
NarwahlRAT可根据攻击者的远程指令,启动超过30种功能,包括记录键盘输入、截取屏幕、录制麦克风音频、收集USB存储设备文件以及执行远程命令等。
Genians分析称,此次攻击在结构和手法上,与去年5月公开的朝鲜关联黑客组织APT37基于Python的后门攻击案例相似。
![“AI周期一结束,韩国综指也会下跌”……即便如此仍不应离开韩国股市的原因[韩国综指1万时代]①](https://cwcontent.asiae.co.kr/asiaresize/93/2026060415542988116_1780556069.jpg)
Genians表示:“今后仍可能以类似变种形式持续被利用”,并称“有必要加强基于行为的检测体系”。
本报道由人工智能(AI)翻译技术生成。
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
