一項(xiàng)網(wǎng)絡(luò)間諜活動(dòng)針對(duì)美國的國家安全智囊團(tuán)和學(xué)術(shù)機(jī)構(gòu)，據(jù)信這是一個(gè)在朝鮮工作的黑客組織的情報(bào)搜集行動(dòng)。

使用帶有惡意附件的假電子郵件進(jìn)行的一系列魚叉式網(wǎng)絡(luò)釣魚攻擊試圖傳遞新的惡意軟件系列，Palo Alto Networks的研究人員已經(jīng)發(fā)現(xiàn)并稱之為BabyShark。該活動(dòng)于11月開始，至少在新的一年里保持活躍。

在研究人員確定的已知目標(biāo)中，有一所美國大學(xué)正在籌劃圍繞朝鮮無核化的會(huì)議，還有一個(gè)研究機(jī)構(gòu)，作為圍繞國家安全的智庫。

該釣魚郵件被設(shè)計(jì)看起來好像他們已經(jīng)被安全專家擔(dān)任顧問，國家安全認(rèn)為，在美國，并配有主題引用朝鮮核問題，以及更寬的安全對(duì)象發(fā)送。

雖然誘餌電子郵件中使用的大部分內(nèi)容都是在互聯(lián)網(wǎng)上公開發(fā)布的，例如真實(shí)會(huì)議的時(shí)間表，但攻擊者也使用看似不公開的內(nèi)容。這表明該活動(dòng)可能已經(jīng)讓受害者在一個(gè)智囊團(tuán)中訪問私人文件，這是該活動(dòng)的一部分。

與許多網(wǎng)絡(luò)釣魚攻擊一樣，該活動(dòng)鼓勵(lì)用戶啟用宏，允許基于Microsoft Visual Basic(VB)腳本的BabyShark惡意軟件遠(yuǎn)程啟動(dòng)Windows PC上的活動(dòng)。

通過與命令和控制服務(wù)器通信，BabyShark獲得了維護(hù)網(wǎng)絡(luò)持久訪問所需的注冊(cè)表密鑰，并從其運(yùn)營(yíng)商處檢索命令。

作為情報(bào)收集活動(dòng)的一部分，惡意軟件的目標(biāo)是監(jiān)控受感染的系統(tǒng)并收集數(shù)據(jù)。

對(duì)BabyShark的分析揭示了與其他可疑的朝鮮黑客攻擊活動(dòng)Stolen Pencil和KimJongRAT的聯(lián)系。BabyShark使用與Stolen Pencil活動(dòng)中使用的相同的被盜代碼簽名證書簽名，兩種形式的惡意軟件是已知使用它的兩種形式。

同時(shí)，BabyShark和KimJongRAT使用相同的文件路徑存儲(chǔ)收集的信息，而BabyShark背后的人似乎已經(jīng)測(cè)試了反病毒檢測(cè)樣本以及新編的KimJongRAT樣本。

用于試圖傳遞KimJongRAT的誘餌文件也與朝鮮，核威懾和亞洲事務(wù)會(huì)議有關(guān)，后者也遵循與BabyShark運(yùn)動(dòng)中使用的非常相似的主題。

所有這些都讓研究人員得出結(jié)論，BabyShark是另一個(gè)朝鮮黑客攻擊活動(dòng) - 一個(gè)試圖密切關(guān)注特定目標(biāo)的活動(dòng)。

研究人員說：“精心設(shè)計(jì)的魚叉釣魚電子郵件和誘餌表明威脅行為者很清楚目標(biāo)，并密切監(jiān)視相關(guān)社區(qū)事件以收集最新情報(bào)。”