韩国金融行业遭遇一起精密供应链攻击,攻击者最终部署了麒麟勒索软件。
“该行动整合了大型勒索软件即服务组织麒麟的攻击能力,可能有朝鲜国家关联行为者参与,攻击初始入口为托管服务提供商入侵,” Bitdefender在分享给The Hacker News的报告中表示。
麒麟已成为 2025 年最活跃的勒索软件组织之一,该 RaaS 团伙在 10 月呈现 “爆发式增长”,宣称攻击了 180 多个受害者。据英国国家网络安全中心数据,该组织发起的攻击占全球勒索软件攻击总量的 29%。
这家罗马尼亚网络安全公司表示,2025 年 9 月发现韩国勒索软件受害者数量异常激增 —— 当月韩国以 25 起案例成为全球第二大受影响国家(仅次于美国),而 2024 年 9 月至 2025 年 8 月期间,韩国每月平均仅约 2 起受害者案例,因此决定深入调查。
进一步分析显示,这 25 起案例均独家归因于麒麟勒索软件组织,其中 24 家受害者来自金融行业。攻击者将该行动命名为 “韩国泄露”(Korean Leaks)。
核心攻击方背景
尽管麒麟的起源可能与俄罗斯相关,但该组织自称 “政治活动家” 和 “国家爱国者”。其采用传统的附属机构模式,招募各类黑客实施攻击,作为回报,黑客可获得非法赎金中最高 20% 的分成。
值得关注的一个附属机构是代号为 Moonstone Sleet 的朝鲜威胁行为者。据微软披露,该行为者曾在 2024 年 4 月针对一家未具名的国防科技公司,部署了名为 FakePenny 的定制勒索软件变种。
2025 年 2 月初,该威胁行为者出现重大策略转变,被观察到向少数组织分发麒麟勒索软件。目前尚不清楚最新一轮攻击是否确实由该黑客组织实施,但针对韩国企业的攻击目标与其实战战略目标一致。
“韩国泄露” 行动细节
“韩国泄露” 行动分三波发布数据,共从 28 家受害者处窃取超过 100 万份文件和 2TB 数据。比特梵德表示,另有 4 家机构的受害者相关帖子已从数据泄露站点(DLS)移除,推测可能是在赎金谈判达成后或基于特定内部政策被下架。
三波数据发布具体如下:
- 第一波:包含 10 家财务管理行业受害者,发布于 2025 年 9 月 14 日
- 第二波:包含 9 家受害者,发布于 2025 年 9 月 17 日至 19 日
- 第三波:包含 9 家受害者,发布于 2025 年 9 月 28 日至 10 月 4 日
此次泄露行动的不同寻常之处在于,它偏离了勒索软件组织向受入侵机构施压的常规策略,转而大量使用宣传性和政治性语言。
“整个行动被包装成揭露系统性腐败的公益行为,例如威胁发布可能成为‘股市操纵证据’的文件,以及‘韩国知名政客和商人’名单,” 比特梵德在描述第一波行动时表示。
后续几波行动进一步升级威胁,声称数据泄露可能对韩国金融市场构成严重风险。攻击者还援引严格的数据保护法规,呼吁韩国当局调查相关案件。
第三波行动的信息传递出现进一步转变:该组织起初延续了 “泄露被盗信息将引发国家金融危机” 的主题,随后话术 “更接近麒麟组织典型的经济利益驱动型勒索信息”。
鉴于麒麟组织宣称拥有 “内部记者团队”,协助附属机构撰写博客文章文本并在谈判中施压,分析认为该组织核心成员主导了数据泄露站点的文本发布工作。
“这些帖子包含核心运营者特有的语法不一致特征,” 比特梵德表示,“但对最终文稿的把控并不意味着附属机构在关键信息传递或内容整体方向上没有重要话语权。”
攻击实施路径与防御建议
据悉,麒麟组织的附属机构通过入侵一家上游托管服务提供商,利用其访问权限同时入侵了多家受害者。2025 年 9 月 23 日,《韩国中央日报》报道称,韩国 20 多家资产管理公司因 GJTec 公司遭入侵而感染勒索软件。
为降低此类风险,组织应强制启用多因素认证、应用最小权限原则限制访问权限、对关键系统和敏感数据进行隔离,并主动采取措施减少攻击面。
“引发‘韩国泄露’行动的 MSP 入侵事件,凸显了网络安全讨论中的一个关键盲点,” 比特梵德表示,“利用有权访问其他企业的供应商、承包商或 MSP,是寻求集中式攻击目标的 RaaS 组织更普遍且可行的途径。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容