根據McAfee近日發布的報告指出，全球新冠病毒大流行期間，朝鮮黑客用虛假工作機會瞄準美國國防和航空航天領域，以期感染那些尋求更好工作機會或晉升機會的員工。

[[335845]]

報告透露，這個代號“北極星行動”的攻擊活動始于3月下旬，持續到2020年5月。

圖片來源：McAfee

McAfee認為，“北極星行動”與此前的“隱秘眼鏡蛇”(Hidden Cobra，美國政府對朝鮮黑客組織的統稱)組織使用了相似的基礎設施和TTP(技術、戰術和程序)。

用工作機會作誘餌

邁克菲表示，“北極星行動”使用的是普通的魚叉式網絡釣魚電子郵件攻擊，誘使收件人打開包含所謂工作機會的誘騙文件。

McAfee首席科學家兼高級首席工程師克里斯蒂安·比克(Christiaan Beek)表示，在過去的2017年和2019年，許多黑客團體都喜歡使用這種套路，而朝鮮黑客也曾在針對美國國防部門的攻擊中使用過這種誘惑戰術。

美國政府認為，2017年的朝鮮黑客攻擊事件中，攻擊者也曾參與WannaCry勒索軟件的開發。

但是2020年的攻擊也有所不同，攻擊者開始通過社交網絡而不是電子郵件來接觸受害者。

下圖概述了惡意軟件從接觸到運作的整個感染鏈，McAfee報告中則提供了詳盡的技術細節。

圖片來源：McAfee

但是，有關這項運動的效果仍存在疑問。鑒于冠狀病毒大流行期間的勞動力流動一直處于歷史低位，目前尚不清楚朝鮮黑客通過采用“新工作”主題來吸引受害者是否收到預期效果。

遺憾的是，McAfee表示自己無法訪問投放誘餌的釣魚電子郵件，僅設法恢復了被劫持的文檔并消除了惡意軟件有效載荷。

結果，McAfee無法準確確定哪些美國國防或航空公司是這些攻擊的目標，因此無法通知用戶。

McAfee表示，唯一能確定的是虛假職位的性質(高級設計工程師和系統工程師)，以及黑客試圖“招募”以下國防計劃的相關人員：

• F-22戰斗機計劃
• 國防、太空與安全(DSS)
• 太空太陽能電池用光伏技術
• 航空綜合戰斗機集團
• 軍用飛機現代化計劃

McAfee首席科學家Raj Samani昨天表示，已按照例行程序聯系美國網絡安全機構，將該攻擊事件通知當局。

攻擊的主要目的是收集情報

McAfee的報告指出，這些攻擊的要點也很明確，“北極星行動”戰役顯然是朝鮮進行網絡間諜活動和情報收集工作的一部分。由于該國受到嚴厲的經濟制裁，缺乏自給自足的軍工聯合體，因此它只能通過竊取所需信息來支持其核武器計劃和野心。

與此同時，McAfee還認為朝鮮維持其核計劃的另一種方式是允許其黑客從事“普通”網絡犯罪獲取經費并從事洗錢活動。安全公司卡巴斯基(Kaspersky)周二發表了研究報告，將朝鮮的黑客與一種名為VHD的新型勒索軟件聯系起來。

在此之前，該黑客組織還與各種網絡犯罪活動相關，例如BEC商務郵件攻擊、Magecart攻擊、銀行網絡搶劫、加密貨幣入侵和詐騙、ATM提款和加密礦僵尸網絡。

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文