朝鲜黑客武器化VS Code,借微软合法设施渗透韩国政企网络

与朝鲜有关的网络间谍组织正在将全球开发者广泛使用的工具------Visual Studio Code------武器化,用于悄无声息地渗透受害者网络。Darktrace最新调查揭露,该组织针对韩国用户发起复杂攻击,通过伪装成政府文件并利用微软合法基础设施,成功绕过传统安全防御。

利用合法软件掩盖恶意活动

Darktrace分析师将此次攻击归因于朝鲜民主主义人民共和国(DPRK),攻击者利用人们对合法软件的信任,堂而皇之地隐藏恶意流量。攻击并非始于漏洞利用,而是通过鱼叉式钓鱼邮件展开。邮件中包含伪装成无害Hangul文字处理器(HWPX)文档的Javascript编码(JSE)脚本。

精心设计的诱饵文档

为降低受害者警惕性,恶意软件会打开一份标题为《2026年上半年国内研究生院硕士夜间课程学生选拔相关文件》的诱饵文档。报告指出:"这些Hangul文档假冒了韩国负责公务员管理的人事管理部门"。分析师发现,攻击者似乎从政府网站窃取了真实文档,并"对其进行了编辑以显得合法"。

VS Code隧道变身隐蔽通道

脚本执行后并非安装标准后门,而是部署Visual Studio Code(VS Code)隧道功能。这项原本用于开发者远程协作的功能,在此被改造成隐蔽的命令与控制(C2)通道。

VSCode隧道设置 | 图片来源:Darktrace

报告解释称:"通过使用VS Code隧道,攻击者能够通过受信任的微软基础设施进行通信,而非专用C2服务器。"这种策略尤其危险,因为它与正常的开发者活动混为一体。"使用广受信任的应用程序使得检测更加困难,特别是在普遍安装开发者工具的环境中"。

攻击技术细节

攻击行动依赖一个被入侵的合法网站yespp.co.kr来协调连接。恶意软件会发送连接代码和特定隧道令牌"bizeugene"到该网站,建立桥梁使攻击者能远程控制受害者机器,所有流量都流经信誉良好的微软域名。

Darktrace总结称:"虽然工具新颖,但攻击特征却很熟悉。使用Hancom文档格式、冒充朝鲜政府、维持长期远程访问以及本次攻击中的受害者目标选择,都与之前归因于朝鲜相关威胁组织的操作模式一致。"

相关推荐
nuoxin1141 分钟前
HR4988替代A4988-富利威
网络·人工智能·嵌入式硬件·fpga开发·dsp开发
大意的百合18 分钟前
Electron 应用如何上架微软商店:从 MSIX 打包到商店提交
javascript·microsoft·electron
EnCi Zheng33 分钟前
N3A-一个端口只能给一个程序使用吗?[特殊字符]
网络·nginx·docker
XUHUOJUN1 小时前
Windows Server 2025 Stretch Cluster 架构详解
windows·microsoft·azure local
技术硬汉2 小时前
Ai帮我找问题-路由器拨号问题-SIM卡不识别
网络·智能路由器
帅次2 小时前
Android 高级工程师面试:网络与数据层 近1年高频追问 18 题
android·网络·okhttp·面试·retrofit·gilde
XUHUOJUN2 小时前
Windows Server 2025 RAC vs Stretch Cluster 技术定位
windows·microsoft·azure local
网络小白不怕黑2 小时前
11.虚拟机模拟路由器实验
linux·运维·服务器·网络
ylscode10 小时前
OpenSSH 10.4 正式发布:后量子加密落地,多项高危漏洞得到修复
网络·安全·网络安全
DianSan_ERP11 小时前
电商架构演进:如何在高并发场景下实现多平台API的标准化履约?
运维·前端·网络·安全·架构·自动化