代号为“DEEP#DRIVE”的网络钓鱼攻击正在针对韩国各类机构，已有数千人受害。安全研究人员将其归咎于朝鲜Kimsuky黑客组织，称该攻击可能意在窃取敏感信息。

Securonix近日发布调查报告，揭露了一场代号为DEEP#DRIVE的网络攻击行动。这一多阶段攻击自2024年9月以来，持续针对韩国企业、政府机构以及加密货币用户，目的可能是情报收集，目前已有数千人成为受害者。

Hackread.com提前获得的调查报告显示，攻击者主要通过高度定制的网络钓鱼邮件进行攻击，并伪装成工作日志、保险文件、加密货币相关文件等合法文档，以诱导目标受害者下载恶意软件。

Securonix分享了一张伪装成Telegram.exe应用的钓鱼诱饵，文件名为대차 및 파레트（韩语：台车和托盘），其中包含产品名称（제품명）、P9地下工厂（P9 지하공장）、总重量（총중량）等物流相关信息，表明攻击者可能专门针对物流行业进行诈骗。

这些诱饵文件通常采用受害者熟悉的格式，如 .hwp（韩文文档格式）、.xlsx（Excel文件）、.pptx（PowerPoint文件），并托管在Dropbox等合法云存储平台，从而避开传统安全防护系统的检测，同时让恶意文件更容易被受害者信任。

“很明显，网络钓鱼是本次攻击的主要传播手段，收集到的样本及其文件名高度符合常见的钓鱼邮件主题和用词。”
—— Securonix安全研究员在报告中指出。

攻击分析：如何运作？

🔹 PowerShell脚本驱动攻击：攻击者广泛使用PowerShell脚本进行恶意代码投递、信息收集和持久化，并利用Windows计划任务（如“ChromeUpdateTaskMachine”）保持控制。

🔹 利用Dropbox进行数据窃取：攻击者将窃取的系统信息（IP地址、操作系统、杀毒软件、进程列表等）存储并上传至Dropbox账户，使检测更加困难。

攻击链条

1️⃣ 假冒文件诱导受害者：攻击者使用 .lnk快捷方式文件伪装成合法文档，一旦点击，便触发 恶意PowerShell脚本。
2️⃣ 恶意软件加载：脚本下载并运行**.NET程序集**，该程序集伪装成合法应用程序（如“Telegram.exe”），从而隐藏真实目的。
3️⃣ 系统信息收集：主要脚本 “system_first.ps1”会收集并 上传受害者的系统信息。
4️⃣ 最终负载部署：“temp.ps1”等脚本通常会释放最终的远程控制木马（RAT），但本次调查未能捕获最终恶意载荷。
5️⃣ 短期基础设施：攻击者在被发现前会迅速删除Dropbox存储文件，表明其采用短期策略，避免被长期追踪。

攻击者还使用混淆代码（例如无意义变量名、无关代码填充、字符串拼接等方式）来躲避安全检测，进一步提高隐匿性。

与Kimsuky黑客组织的关联

Securonix研究人员表示，本次攻击的战术、技术和程序（TTPs）高度类似于朝鲜黑客组织Kimsuky的攻击方式。

Kimsuky组织隶属于朝鲜国家支持的APT（高级持续性威胁）黑客团队，长期以来针对韩国政府、企业及加密货币行业，其过去的攻击行动也曾广泛使用Dropbox作为数据窃取平台。

如何防范DEEP#DRIVE攻击？

✅ 提高员工安全意识：

• 避免点击陌生邮件附件，尤其是Excel、PPT、HWP等格式的文件。
• 警惕文件托管服务，如Dropbox、Google Drive、OneDrive等，避免从非官方渠道下载文件。

✅ 加强系统防护：

• 监控PowerShell日志，发现异常执行情况。
• 定期更新系统补丁，防止黑客利用已知漏洞入侵。
• 严格限制计划任务创建权限，防止恶意软件持久化。

✅ 检测可疑网络连接：

• 追踪Dropbox异常访问行为，检测是否有未经授权的数据上传。
• 使用端点检测与响应（EDR）工具监控可疑活动。

总结

DEEP#DRIVE攻击表明，朝鲜黑客Kimsuky组织正在不断升级战术，利用合法云平台、定制化钓鱼邮件以及恶意PowerShell脚本进行隐秘的网络间谍活动。

韩国政府、企业及加密货币行业应提高警惕，通过安全培训、终端防护及日志监控，降低被攻击的风险。