网络钓鱼活动试图传播新品牌的窥探恶意软件

一项网络间谍活动针对美国的国家安全智囊团和学术机构，据信这是一个在朝鲜工作的黑客组织的情报搜集行动。

使用带有恶意附件的假电子邮件进行的一系列鱼叉式网络钓鱼攻击试图传递新的恶意软件系列，Palo Alto Networks的研究人员已经发现并称之为BabyShark。该活动于11月开始，至少在新的一年里保持活跃。

在研究人员确定的已知目标中，有一所美国大学正在筹划围绕朝鲜无核化的会议，还有一个研究机构，作为围绕国家安全的智库。

该钓鱼邮件被设计看起来好像他们已经被安全专家担任顾问，国家安全认为，在美国，并配有主题引用朝鲜核问题，以及更宽的安全对象发送。

虽然诱饵电子邮件中使用的大部分内容都是在互联网上公开发布的，例如真实会议的时间表，但攻击者也使用看似不公开的内容。这表明该活动可能已经让受害者在一个智囊团中访问私人文件，这是该活动的一部分。

与许多网络钓鱼攻击一样，该活动鼓励用户启用宏，允许基于Microsoft Visual Basic(VB)脚本的BabyShark恶意软件远程启动Windows PC上的活动。

通过与命令和控制服务器通信，BabyShark获得了维护网络持久访问所需的注册表密钥，并从其运营商处检索命令。

作为情报收集活动的一部分，恶意软件的目标是监控受感染的系统并收集数据。

对BabyShark的分析揭示了与其他可疑的朝鲜黑客攻击活动Stolen Pencil和KimJongRAT的联系。BabyShark使用与Stolen Pencil活动中使用的相同的被盗代码签名证书签名，两种形式的恶意软件是已知使用它的两种形式。

同时，BabyShark和KimJongRAT使用相同的文件路径存储收集的信息，而BabyShark背后的人似乎已经测试了反病毒检测样本以及新编的KimJongRAT样本。

用于试图传递KimJongRAT的诱饵文件也与朝鲜，核威慑和亚洲事务会议有关，后者也遵循与BabyShark运动中使用的非常相似的主题。

所有这些都让研究人员得出结论，BabyShark是另一个朝鲜黑客攻击活动 - 一个试图密切关注特定目标的活动。

研究人员说：“精心设计的鱼叉钓鱼电子邮件和诱饵表明威胁行为者很清楚目标，并密切监视相关社区事件以收集最新情报。”