根據韓國安全公司AhnLab的一份報告顯示,過去12個月裡,包括北韓支持的拉撒路組織在內的國家支持的駭客組織廣泛使用魚叉式網路釣魚攻擊來竊取資金和收集情報。該組織通常偽裝成會議組織者、商業夥伴或同事,誘騙人們打開文件或執行命令。
拉扎勒斯集團:人工智慧驅動的誘餌使魚叉式網路釣魚變得更加逼真
根據一些報導,一個名為Kimsuky的組織利用人工智慧偽造軍人身分證圖像,並將其插入 ZIP 文件中,使這些資訊看起來合法。
安全專家表示,這些偽造的身份資訊足以以假亂真,誘騙收件人開啟附件,從而執行隱藏代碼。該事件可追溯至2025年7月中旬,似乎標誌著攻擊者在創建誘餌方面取得了突破性進展。
其目標很簡單:誘使用戶信任某條訊息並開啟文件,攻擊者即可獲得存取權限。這種存取權限可能導致憑證被盜、惡意軟體傳播或加密貨幣錢包被盜空。與平壤有關聯的組織曾被指與針對金融和國防目標等的攻擊有關。
拉撒路組織的受害者被要求服從命令
有些攻擊活動並非完全依賴隱藏的漏洞。在某些案例中,攻擊者誘騙目標使用者自行輸入 PowerShell 指令,有時目標使用者誤以為自己是在依照官方指示操作。
這一步驟使得攻擊者無需利用零日漏洞即可執行具有更高權限的腳本。安全機構警告稱,這種社群媒體攻擊手法正在蔓延,且難以偵測。
拉撒路集團:舊文件類型,新技巧
攻擊者也會利用 Windows 捷徑檔案和類似格式來隱藏命令,這些命令會在檔案開啟時靜默執行。研究人員已記錄了近 1000 個與大型攻擊活動相關的惡意 .lnk 樣本,這表明常見的文件類型仍然是攻擊者首選的傳播方式。這些快捷方式可以執行隱藏的參數並下載額外的有效載荷。
為什麼這一點現在很重要
這使得攻擊更難阻止:個人化資訊、人工智慧篡改的圖像以及誘騙用戶執行程式碼的陷阱。多因素身份驗證和軟體修補程式有所幫助,但培訓員工對異常請求保持警惕仍然至關重要。安全團隊建議採取基本的安全措施:更新、驗證,如有疑問,請諮詢已知聯絡人。
據報道, Lazarus Group和 Kimsuky 仍然活躍。根據 AhnLab 的研究結果,Lazarus 是過去 12 個月網路犯罪後分析中被提及次數最多的組織。該組織被認定為以經濟利益為目的的網路攻擊,而 Kimsuky 似乎更專注於資訊收集和有針對性的欺騙。
題圖來自 Anadolu,圖表來自 TradingView