北韓駭客冒充三星向南韓安全廠商員工提供工作機會散佈後門

Google本周發佈報告，北韓政府支持的駭客組織冒充三星，寄發工作機會邀約信給南韓銷售防毒軟體方案的廠商員工，以散佈後門程式。

分析這些惡意郵件的Google威脅分析小組報告指出，這些郵件包內含一個假冒三星職位的職位介紹(Job Description)的PDF檔，事實上這個PDF經過變造，無法由標準的PDF讀取軟體開啟。如果收信人抱怨無法開啟職位介紹檔案，駭客就很好心提供一個連結，要收合人下載並安裝名為「Secure PDF Reader」的軟體。

這個下載的檔案是由合法PDF讀取器PDFTron修改而來，一安裝就會在天真的受害者電腦植入後門程式。

Google威脅分析小組認為，發動這波攻擊的北韓駭客，和2020年底及2021年經由推特及其他社交網路攻擊安全研究人員的是同一批人。微軟將這個組織稱之為Zinc。

不過 Zinc的攻擊策略目前還不完全清楚。研究人員推斷，後門程式植入安全廠商員工電腦後，駭客可能是試圖找到尚未公開的漏洞，再從這些員工電腦向內部網路散佈。

不過北韓駭客之所以鎖定南韓防毒軟體廠商員工下手，最終目的可能是想藉此進入軟體供應鍊，以攻擊使用這些軟體的南韓企業。

來源：The Record