“金氏泄密”事件:揭秘朝鲜盗取账号的套路

一份泄露的数据揭示了与朝鲜有关的“Kim”黑客组织(也称 Kimsuky 或 APT43)的行动细节。该组织主要针对韩国和台湾的网络窃取凭证,其行动呈现出一种混合模式:攻击目标和手法带有明显的朝鲜特征,但使用的工具和网络基础设施却与中国有紧密联系。泄露内容包括命令历史、钓鱼域名、恶意软件和Linux内核级木马(Rootkit)等证据,揭示了该组织以窃取身份凭证为核心,并具备深度渗透和长期潜伏的能力。

技术分析

泄露的数据集提供了对朝鲜网络行动的独特视角,显示攻击者直接参与了工具的开发和使用。

    • 恶意软件开发:终端历史文件显示,攻击者使用 NASM 汇编器积极开发恶意软件,这通常用于编写定制的加载器和注入工具。
    • 情报搜集:攻击者使用光学字符识别(OCR)技术,从涉及韩国公钥基础设施(PKI)和VPN部署的敏感PDF文件中提取技术信息。
    • 权限维持:日志文件(PAM logs)记录了攻击者对管理员账户密码的修改,许多记录标有韩语“변경완료”(变更完成),涉及 oraclesvradmin 等高权限账户,表明其已获得并维持对关键系统的访问。
    • 钓鱼设施:攻击者建立了一个庞大的钓鱼网络,使用 nid-security[.]com 等域名模仿韩国政府门户网站,诱骗用户交出凭证。
    • Linux Rootkit:最引人注目的是一个利用系统调用挂钩(syscall hooking)技术的 Linux Rootkit,它能深度隐藏在系统中,实现持久的秘密控制。

凭证窃取是核心目标

种种迹象表明,获取和维持对高权限账户的访问是该组织的首要任务。

    • 泄露的文件中包含名为 136백운규001_env.key 的密钥文件,其命名结构符合韩国政府公钥基础设施(GPKI)的颁发惯例,是窃取到韩国政府加密密钥的确凿证据
    • 权限管理日志(PAM logs)显示,攻击者频繁轮换 oraclesvradmin 等核心系统管理员账户的密码,并标记为 “变更完成”
    • 这些发现共同指向一个核心策略:夺取并控制特权凭证和数字证书,从而能够在受信任的系统内部像“自己人”一样活动。

复杂的钓鱼基础设施

攻击者的钓鱼活动具有区域定制化和技术先进性的特点。

    • 仿冒域名:创建了 nid-security[.]comwebcloud-notice[.]com 等域名,模仿韩国的身份认证和文件服务。同时,还仿冒了国防部(dcc.mil[.]kr)、检察厅(spo.go[.]kr)和外交部(mofa.go[.]kr)等官方机构。
    • “中间人攻击”:利用 jeder97271[@]wuzak[.]com 这类一次性邮箱,结合 TLS 代理,实施“中间人攻击”(AiTM),在用户与仿冒网站交互时实时捕获登录凭证。

深入分析Linux Rootkit

泄露的材料详细揭示了一款用于在Linux服务器上实现持久化潜伏的内核级木马(Rootkit)。

这款工具利用内核级Rootkit隐藏技术,提供高度的隐蔽性和渗透连接能力。它可以在常见的Linux系统上运行时隐藏自身,并在内核层支持连接转发,允许重用外部端口连接到受控主机。其通信行为被隐藏在正常流量中。

  • 核心功能
      • 系统调用挂钩:通过修改内核功能来隐藏文件、进程和网络连接。
      • 后门与代理:提供受密码保护的反向Shell和SOCKS5代理功能,用于数据传输和远程控制。
      • 隐蔽部署:木马文件(vmmisc.ko)被放置在 /usr/lib64/tracker-fs/ 等看似合法的系统目录中,以躲避文件完整性监控。

这种高级工具的存在表明,攻击者不仅能通过钓鱼获得初步访问权限,还具备在服务器环境中长期潜伏和秘密行动的能力。

目标分析

攻击行动显示出明确的战略意图,主要集中在韩国和台湾。

针对韩国:渗透国家数字信任体系

攻击者的行动旨在从多个层面渗透韩国的数字基础设施,特别是政府公钥基础设施(GPKI)。

    • 窃取身份:直接窃取并尝试使用政府颁发的数字证书密钥,并利用OCR技术研究韩国PKI和VPN的技术架构,试图理解并颠覆其国家身份认证框架。
    • 控制系统:获取并轮换 oraclesvradmin 等特权账户的密码,显示其已成功控制了关键后台系统。日志中出现的“최고 관리자”(超级管理员)字样证实了这一点。
    • 长期潜伏:部署定制的Linux Rootkit,以确保在被入侵的机器上建立隐蔽的、长期的据点。

针对台湾:侦察开发者与云基础设施

泄露内容揭示了该组织对台湾基础设施的侦察活动,这是一个值得注意的新动向。

    • 目标域名:攻击者访问了 tw.systexcloud[.]com(企业云服务)、mlogin.mdfapps[.]com(移动登录门户)以及 caa.org[.]tw(中华航空事业发展基金会)的 .git/ 目录。
    • 意图分析:直接访问 .git/ 目录表明其意图是寻找源代码、API密钥或开发者凭证等敏感信息,这是典型的供应链攻击侦察阶段。
    • 目标IP:攻击者探测的IP地址(163.29.3[.]119118.163.30[.]45)均隶属于台湾的学术、政府或研究网络骨干。

这些活动表明,该组织的行动范围已超出朝鲜半岛,开始将台湾的行政和开发者基础设施作为潜在目标。

混合归因模型:朝鲜背景与中国资源

此次泄露是现代国家级网络攻击归因复杂性的一个典型案例,其特征模糊了地缘政治界限。

证据强烈指向一名朝鲜背景的攻击者,但其行动却大量依赖中国的数字基础设施和网络环境。

  • 朝鲜特征

      • 语言和目标:终端环境、OCR分析和系统文件中大量使用韩语。攻击重点是韩国的GPKI系统,这与Kimsuky组织的历史行为高度一致。
      • 时区设置:攻击者主机的系统时区被设置为 UTC+9(平壤标准时间),进一步加强了其与朝鲜的联系。

  • 中国联系

      • 网络足迹:浏览器和下载日志显示,攻击者频繁使用 gitee.combaidu.comzhihu.com 等在中国流行的平台,这对于通常避免暴露在外国服务下的朝鲜攻击者来说很不寻常。
      • 地理位置推测:这种行为模式符合关于朝鲜网络人员驻扎在中国边境城市(如沈阳、丹东)进行活动的长期情报。这些地点提供更快的网络和宽松的监管。
      • 文化伪装:攻击者下载和使用的图片内容,如荣耀手机广告、中文网络迷因等,表明其深度融入了中国的网络文化,以此作为掩护。

结论:最合理的解释是,“Kim”是一名身处中国境内或与中国基础设施合作的朝鲜网络攻击者。这种模式使朝鲜能够扩大其攻击范围,掩盖其真实来源,并采取更广泛的区域性攻击策略。

最终评估

“Kim”泄露事件是迄今为止与Kimsuky(APT43)相关的最全面、技术细节最丰富的披露之一。它不仅证实了该组织以凭证窃取和钓鱼为核心的策略,还揭示了其行动的内部运作方式和不断演变的战略意图。

泄露内容的核心是一个技术能力强的攻击者,他精通底层代码开发、Linux持久化技术和证书滥用。然而,最引人注目的发现是其行动范围的扩大。对台湾开发者门户和政府研究机构IP的侦察活动表明,其任务已不再局限于朝鲜半岛,而是扩展到更广泛的区域,这可能与间谍活动或供应链渗透的战略重点相符。

这次事件揭示的威胁不仅是恶意软件或钓鱼,而是一场以基础设施为中心、凭证为先的APT攻击活动。它融合了传统的手动操作(如手工编译代码)和现代的欺骗战术(如中间人攻击)。

对于韩国和台湾的组织,特别是那些管理身份认证、数字证书和云访问基础设施的机构,应将自身视为持续的、以凭证为重点的监视目标。防御策略必须优先考虑检测异常行为,例如内部网络出现OCR工具、异常访问GPKI域名以及底层开发工具链的使用。