朝鲜APT小组STOLEN PENCIL专门威胁生物工程学者

STOLEN PENCIL——与朝鲜相关的APT小组自今年5月以来一直瞄准学术机构。

与朝鲜相关的APT组织正在利用网络钓鱼攻击学术机构。网络钓鱼邮件包括指向网站的链接，其中的诱饵文档试图欺骗用户安装恶意Google Chrome扩展程序。

该活动的许多受害者位于多所大学，都是生物医学工程方面的专业人士。

攻击者使用现成的工具确保驻留，根据NetScout报告：

“攻击背后的最终动机尚不清楚，但攻击者善于掠夺凭证。通过发送网络钓鱼电子邮件，引导他们到显示诱饵文档的网站，并立即提示安装恶意谷歌Chrome扩展程序。”

“一旦得逞，攻击者就会使用现成的工具来确保长期驻留，包括远程桌面协议（RDP）以保持访问权限。”

攻击者使用了仿冒页面，其中较为复杂的目标是学术界在IFRAME中显示良性PDF，并将用户重定向到Chrome网上应用店的“字体管理器”扩展。

恶意扩展从一个单独的站点加载JavaScript，但目前只发现一个包含合法jQuery代码的文件，可能是因为攻击者更换了恶意代码以进行分析。恶意扩展允许攻击者从受害者访问的所有网站读取数据，这种情况表明攻击者希望窃取浏览器cookie和密码。

攻击者没有使用恶意软件来破坏目标，STOLEN PENCIL攻击者使用RDP访问受感染的系统，研究人员观察到每天从06:00到09:00 UTC（01：00-04： 00 EST）是活跃时间。

STOLEN PENCIL攻击者还使用受损或被盗的证书签署了该活动中使用的多个PE文件。研究人员观察了两套签名的工具，名为MECHANICAL和GREASE。前者记录击键并替换以太坊钱包地址，后者在系统中添加Windows管理员帐户并启用RDP。

安全研究人员还发现了一个ZIP文件，其中包含用于端口扫描，内存和密码转储以及其他黑客活动的工具。

这些工具列表包括KPortScan，PsExec，用于启用RDP的批处理文件，Procdump，Mimikatz，漏洞攻击套件Eternal 以及Nirsoft工具，如Mail PassView, Network Password Recovery, Remote Desktop PassView, SniffPass, 和 WebBrowserPassView。

STOLEN PENCIL活动可能仅代表攻击者活动的一小部分。安全研究人员表示，使用基本技术，现成的程序，前面提到的加密技术以及韩语的使用表明演员是朝鲜人。

虽然我们能够深入了解STOLEN PENCIL背后的攻击者的TTP（工具，技术和程序），但这显然只是他们活动的一个小窗口。

声明：本文来自malwarebenchmark，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。