当前位置:首页 > 报告详情

揭开朝鲜IT农场的真面目:曝光其全球伪装背后的伎俩.pdf

上传人: 竿*** 编号:982127 2025-11-29 34页 11.07MB

1、O C T O B E R 1,2 0 2 5A NORTH KOREAN CYBER OPERATION:Exposing ARP-based Covert C2s,WebSocket Malware,and Video Conference Software AbuseSecTor 2025WHO ARE WE?A N O R T H K O R E A N C Y B E R O P E R A T I O NAvi SambiraDirector,N.AMERICA,CA2AGENDAA N O R T H K O R E A N C Y B E R O P E R A T I O N

2、3BackgroundTool BreakdownDemonstrationRecommendationsLast ThoughtsBACKGROUNDREAL-WORLD IMPACTA N O R T H K O R E A N C Y B E R O P E R A T I O NKey Milestones in North Korean Cyber Operations(May 2022February 2025)January 2025North Korean IT workers begin extorting former employersFebruary 2025$1.5

3、billion stolen in singlecryptocurrency attackMay 2022North Korean IT workers identified as major infection vectorAt least seven organizations in sixcountries targetedSeptember 2024 February 202521 command and control servers linked to operationsAugust 2024 February 20255jnMARCHFEBRUARYJANUARYDECEMBE

4、RNOVEMBERTIMELINE OF EVENTSA N O R T H K O R E A N C Y B E R O P E R A T I O N7December 2024North Korean IT worker hired as senior DevOps engineerEarly January 2025Discovery of tooling on seized laptopFebruary 2025Laptop returned to client and analyzed by SygniaJanuary to February 2025Threat hunt pe

5、rformed in client environmentNO MALWARE NEEDED:JUST PYTHON,ARP,AND ZOOMA N O R T H K O R E A N C Y B E R O P E R A T I O NCovert DeviceControl8Scripts enablecontrol withoutmalware installation.ScriptsARP packetsrebroadcastcommands locally.ARP PacketsZoom Automationsimulates remotedesktop control.Zoo

6、m AutomationWebSocketfacilitates remotecommand andcontrol.WebSocketEvasion operatesbelow traditionallogging thresholds.EvasionTOOL BREAKDOWN10COVERT CONTROL SYSTEM:NO EXPLOITS REQUIREDA N O R T H K O R E A N C Y B E R O P E R A T I O NNetwork ListenerModuleVideo ConferencingAutomation ModuleInput Si

word格式文档无特别注明外均可编辑修改,预览文件经过压缩,下载原文更清晰!
三个皮匠报告文库所有资源均是客户上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作商用。
根据报告的内容,全文主要内容概括如下: - **关键事件时间线**: - 2022年5月:朝鲜IT工人被识别为主要感染向量。 - 2024年2月:与行动相关的21个命令和控制服务器被发现。 - 2025年1月:朝鲜IT工人作为高级DevOps工程师被雇佣。 - 2025年1月至2月:在客户环境中进行威胁搜索。 - **工具和技术**: - 无需恶意软件:使用Python、ARP和Zoom。 - 隐蔽控制系统:无需漏洞利用。 - 网络监听、视频会议自动化、输入模拟等模块。 - **关键发现**: - ARP广播异常。 - 奇怪的MAC地址。 - 未预期的持久WebSocket连接。 - 使用HID接口进行输入模拟。 - **建议**: - 寻找异常的ARP广播和MAC地址。 - 监测WebSocket流量。 - 注意HID接口的输入模拟。 - **关键思想**: - 协议行为而非有效载荷是重点。 - 检测方法必须适应变化。
无恶意软件的操控术?" Zoom自动化如何被滥用?" 如何识别ARP和WebSocket威胁?"
客服
商务合作
小程序
服务号
折叠