据《明镜周刊》报道(
https://www.spiegel.de/netzwelt/web/diehl-defence-hacker-aus-nordkorea-zielen-auf-mitarbeiter-des-ruestungskonzerns-a-8735f440-670c-40df-9e46-06c620fe9be6),一个与朝鲜政府有关联的专业黑客组织利用巧妙的网络钓鱼活动,利用虚假工作机会和先进社会工程手段,侵入了生产 Iris-T 防空系统的德国公司 Diehl Defence 。
此次攻击被归咎于Kimsuky APT组织,它结合使用带有陷阱的 PDF 文件和鱼叉式网络钓鱼诱饵,为 Diehl Defence 员工提供美国国防承包商的工作机会。
针对 Diehl Defence 的攻击意义重大,因为该公司专门生产导弹和弹药。去年 10 月,Diehl Defence 签署了一项协议,向韩国供应其 Iris-T 短程空对空导弹。
据《明镜周刊》报道,Mandiant 的研究人员对此次入侵事件进行了调查,发现攻击者在发动鱼叉式网络钓鱼攻击之前对 Diehl Defense 进行了详细的侦察。
据《明镜周刊》报道,Kimsuky 黑客将他们的攻击服务器隐藏在一个包含“Uberlingen”的地址后面,“Uberlingen”指的是 Diehl Defence 位于德国南部Uberlingen的所在地。
攻击服务器还托管了看似真实的德语登录页面,类似于电信提供商 Telekom 和电子邮件服务 GMX 的登录页面,这表明攻击者正在批量收集德国用户的登录凭证。
Kimsuky 网络间谍组织 (又名 Springtail、ARCHIPELAGO、Black Banshee、 Thallium、Velvet Chollima、 APT43)于 2013 年首次被卡巴斯基研究人员发现 。该 APT 组织主要针对韩国的智库和组织,其他受害者位于美国、欧洲和俄罗斯。
2024 年 5 月,赛门铁克研究人员发现与朝鲜有关的组织 Kimsuky 使用了一种名为 Gomir 的新 Linux 后门。该恶意软件是 GoBear 后门的一个版本,在 Kimsuky 最近的一次活动中通过木马化的软件安装包传播。
新闻链接:
https://www.securityweek.com/north-korea-hackers-linked-to-breach-of-german-missile-manufacturer/