朝鲜黑客利用GOLDBACKDOOR恶意软件攻击记者

一名与朝鲜民主主义人民共和国（DRPK）有联系的国家支持的威胁行为人被认为是一场矛头式网络钓鱼运动，目标是针对报道该国的记者，最终目标是在受感染的Windows系统上部署后门。

据称，这些入侵是Ricochet Chollima的工作，导致部署了一种名为GOLDBACKDOOR的新型恶意软件，这是一种与另一种名为BLUELIGHT的恶意软件有技术重叠的人工制品，之前该软件与该组织有关联。

网络安全公司Stairwell在上周发布的一份报告中表示：“记者是敌对政府的高价值目标”。“对记者进行妥协可以提供对高度敏感信息的访问，并对其来源进行额外的攻击”。

Ricochet Chollima，也称为APT37、InkySquid和ScarCruft，是一个以朝鲜nexus为目标的入侵对手，至少自2016年以来一直参与间谍袭击。这位威胁行为人有将目标对准大韩民国的记录，特别关注政府官员、非政府组织、学者、记者和朝鲜叛逃者。

2021 11月，卡巴斯基（Kaspersky）发现证据表明，黑客小组运送了一种以前没有记录的名为奇诺托（Chinotto）的植入物，作为新一波目标明确的监视攻击的一部分，而此前的其他行动则使用了一种名为蓝光（BLUELIGHT）的远程访问工具。

Stairwell对此次活动的调查发生在《NK新闻》披露，诱饵信息是从一名前韩国情报官员的个人电子邮件地址发送的几周后，最终导致在多阶段感染过程中部署后门以逃避检测。

发现这些电子邮件包含从远程服务器下载ZIP存档的链接，该服务器旨在模拟以朝鲜为中心的新闻门户。文件中嵌入了一个Windows快捷方式文件，该文件作为执行PowerShell脚本的起点，该脚本在同时安装GOLDBACKDOOR后门的同时打开一个诱饵文档。

就植入物而言，它是一个可移植的可执行文件，能够从远程服务器检索命令、上载和下载文件、记录文件，并从受损机器上远程卸载自身。

Stairwell的Silas Cutler说：“过去10年来，朝鲜民主主义人民共和国将网络行动作为支持政权的关键手段”。

“尽管人们非常关注据称利用这些行动为朝鲜军事计划提供资金的手段，但针对研究人员、持不同政见者和记者的袭击可能仍然是支持朝鲜情报行动的一个关键领域”。