朝鲜黑客利用威胁情报平台展开网络钓鱼

网络安全专家发现，与朝鲜有关的黑客组织正试图系统性地利用网络威胁情报（CTI）平台。这项调查由SentinelLabs和互联网情报公司Validin共同完成，并将该活动与被称为“传染性面试”（Contagious Interview）的黑客集群联系起来，该集群以通过带有恶意软件的招聘诱饵针对求职者而闻名。

报告显示，在2025年3月至6月期间，该组织试图访问Validin的基础设施情报门户网站。在Validin发布了一篇详细描述与Lazarus集团相关活动的博客文章后数小时内，黑客便注册了多个账户。他们使用了此前行动中关联过的Gmail邮箱地址，不过Validin迅速封锁了这些账户。尽管如此，黑客又使用了新注册的域名创建了新账户回来。

持续尝试与策略调整

这些威胁行为者表现出极强的持久性，在数月内反复创建账户并尝试登录。SentinelLabs有意允许其中一个账户保持活跃状态以观察其战术。调查人员发现了团队协作的证据，包括疑似使用Slack即时共享搜索结果。

黑客并未对其基础设施进行大规模更改以避免被发现，而是专注于部署新系统来替代被服务提供商关闭的旧系统。这一策略使得他们在即使被曝光后，仍能维持较高的受害者接触频率。

基础设施侦察与操作安全（OPSEC）失误

研究人员观察到，该组织使用Validin不仅是为了追踪自身被发现的迹象，还会在购买新基础设施之前对其进行侦察。他们对诸如skillquestions[.]com和hiringassessment[.]net等招聘主题域名的搜索表明，其正努力避免使用已被标记的资产。

然而，一些操作安全上的失误暴露了日志文件和目录结构，为了解其工作流程提供了罕见视角。

调查还揭示了“ContagiousDrop”应用——这些嵌入招聘网站的恶意软件交付系统。当受害者执行恶意命令时，这些应用会发送电子邮件警报，并记录姓名、电话号码和IP地址等详细信息。在2025年1月至3月期间，主要来自加密货币行业的230多人受到影响。

活动目标与更广泛的影响

根据SentinelLabs的说法，“传染性面试”活动主要服务于朝鲜获取收入的需求，通过社会工程学手段针对全球的加密货币专业人士。尽管该组织未采取系统性的措施来屏蔽其基础设施，但其韧性来自于快速的重新部署和持续的受害者获取。

SentinelLabs解释称：“鉴于其活动在接触目标方面持续成功，对威胁行为者而言，部署新基础设施可能比维护现有资产更务实、更高效。”

报告强调，求职者保持警惕仍然至关重要，尤其是在加密货币领域。基础设施提供商也扮演着关键角色，快速的查封能显著干扰这些操作。

消息来源：infosecurity-magazine；