近日研究人员表示，一支疑似来自朝鲜的黑客组织自今年五月起就在用鱼叉式网络钓鱼攻击攻击学术机构，钓鱼邮件中包含了指向恶意Google Chrome扩展程序安装的链接。

该行动被称为STOLEN PENCIL，众多受影响的受害者在多所大学的生物医学工程专业方向上都有所建树。

攻击者使用现成的工具确保持久性，但NetScout表示，他们的OPSEC做得很差(即韩语键盘、用韩语打开的web浏览器、韩语转英语翻译器)。

专家们发表的分析中写道：

这些攻击背后的最终动机尚不清楚，但这些威胁行为人擅长于搜集凭证。通过发送鱼叉式钓鱼电子邮件，引导目标进入一个显示诱饵文档的网站，并立即提示需要安装恶意的谷歌Chrome扩展。一旦安装完成，威胁参与者就会使用现成的工具来确保持久性，包括远程桌面协议（RDP）以保持访问权限。

威胁行为者使用了许多基本的钓鱼页面，其中较为复杂的是针对学术界的，它们在IFRAME中显示良性的PDF文件，并将用户重定向到Chrome商店的“字体管理器”扩展。

恶意扩展从一个单独的站点加载JavaScript，专家只发现了一个包含合法jQuery代码的文件，可能是因为威胁行为者已经替换了恶意代码，使分析变得较为困难。恶意扩展允许攻击者访问受害者所有网站读取数据，意味着攻击者试图窃取浏览器cookie和密码。

专家指出，攻击者没有使用恶意软件进一步入侵，研究人员观察到每天UTC时间早上六点到九点 ，STOLEN PENCIL攻击者使用RDP访问受感染的系统。

STOLEN PENCIL攻击者还使用受损或被盗的证书签署了该活动中使用的多个PE文件。研究人员观察了名为MECHANICAL和GREASE的两套签名工具。前者记录击键并将Ethereum钱包地址替换为攻击者的地址，后者将Windows管理员帐户添加到系统中并启用RDP。

安全研究人员还发现了一个ZIP存档，其中包含用于端口扫描、内存和密码转储以及其他黑客活动的工具。这些工具列表包括KPortScan、PsExec、用于启用RDP的批处理文件、Procdump、Mimikatz、the Eternal漏洞攻击套件和Nirsoft工具(如邮件PassView、网络密码恢复、远程桌面PassView、SniffPass和WebBrowserPassView)。

STOLEN PENCIL活动可能仅占到了威胁行为者所有行动的一小部分。安全研究人员表示，通过黑客的技术手段、使用的程序、前面提到的加密技术以及对韩语的使用均能表明黑客来自朝鲜。

NetScout总结道：

虽然我们能够深入了解STOLEN PENCIL背后的威胁行为者的TTP（工具，技术和程序），但很显然这只是他们威胁行为的一小部分。他们的技术相对基础，他们使用的大部分工具都是现有的，再加上窃取密码的动作，是朝鲜谍报技术的典型特征。此外，无论是在浏览网站还是键盘样式上，他们糟糕的OPSEC暴露了他们使用的是韩语。

本文翻译自：https://securityaffairs.co/wordpress/78774/apt/stolen-pencil-campaign.html

翻译作者：Change 原文地址：  http://www.4hou.com/info/news/15094.html