文章总结： 朝鲜黑客组织Kimsuky与Lazarus已联手发起协同攻击，通过社会工程学与0Day漏洞利用相结合的方式窃取敏感情报和加密货币。攻击始于钓鱼邮件部署FPSpy后门，随后利用CVE-2024-38193漏洞获取系统权限，安装专门针对区块链钱包的InvisibleFerret后门，该后门能绕过安全检测并已成功窃取价值3200万美元的加密货币。国防、金融、能源和区块链行业机构面临最高风险，应加强安全防护措施。 综合评分： 85 文章分类： 威胁情报,漏洞分析,网络安全,安全大事件,数据泄露

朝鲜黑客组织Kimsuky与Lazarus联手利用0Day漏洞攻击全球关键行业

FreeBuf

2025年11月22日 18:04 江苏

朝鲜两个最危险的黑客组织Kimsuky和Lazarus已联手发起协同攻击行动，威胁全球组织机构安全。这两个组织通过将社会工程学与0Day漏洞利用相结合的系统性攻击手段，窃取敏感情报和加密货币。

Part01

攻击模式升级

从单兵作战到协同行动

这种合作标志着国家支持的黑客组织运作方式发生重大转变——从孤立攻击转向精心协调的联合行动。攻击始于Kimsuky通过伪装成学术会议邀请或研究合作请求的钓鱼邮件进行侦察。这些邮件包含HWP或MSC格式的恶意附件，打开后会部署FPSpy后门程序。安装完成后，后门会激活名为KLogEXE的键盘记录器，窃取密码、邮件内容和系统信息。该情报收集阶段会绘制目标网络架构图并识别高价值资产，随后将控制权移交给Lazarus。

Part02

漏洞武器化与权限提升

CN-SEC安全研究人员指出，Lazarus随后会利用0Day漏洞获取对已入侵系统的深度访问权限。该组织已将Windows权限提升漏洞（CVE-2024-38193）武器化，用于部署看似合法的恶意Node.js软件包。当这些软件包执行时，攻击者将获得SYSTEM级权限并安装InvisibleFerret后门程序，该后门通过Fudmodule恶意软件组件绕过终端检测工具。

Part03

InvisibleFerret后门技术分析

InvisibleFerret后门在规避检测能力方面取得重大突破。其网络流量伪装成正常的HTTPS网络请求，使得安全团队极难通过流量分析发现异常。该恶意软件专门针对区块链钱包，通过扫描系统内存获取浏览器扩展和桌面应用程序中存储的私钥及交易数据。有记录显示，攻击者曾在48小时内转移价值3200万美元的加密货币而未触发安全警报。

该后门通过加密通道与命令控制服务器通信，采用每日轮换的域名轮询策略。每个C2域名都伪装成合法的电子商务或新闻网站以避免怀疑。完成攻击目标后，两个组织会通过共享基础设施协同清除攻击证据——用合法系统进程覆盖恶意文件并删除攻击日志。国防、金融、能源和区块链行业机构面临最高风险。

参考来源：

North Korean Kimsuky and Lazarus Join Forces to Exploit Zero-Day Vulnerabilities Targeting Critical Sectors Worldwide

North Korean Kimsuky and Lazarus Join Forces to Exploit Zero-Day Vulnerabilities Targeting Critical Sectors Worldwide

#

#

#

推荐阅读

#

电台讨论