北韓間諜組織 KONNI 是一個著名的 APT 組織,專注於韓國及其他地區的網路間諜和攻擊活動。最近,KONNI 利用 Google 的「尋找中心」功能,對韓國目標的 Android 手機遠距重置,導致重要數據被刪除,顯示出其在網路攻擊中的新戰術。
根據韓國網路安全公司Genians的研究,這個行動使得受害者的手機和平板電腦在未經授權的情況下被重置,進而掩蓋了他們的網路入侵痕跡。Genians指出,KONNI組織的這個新型攻擊手法,顯示出北韓的網路操作人員越來越擅長利用合法的雲端服務,隱藏活動並控制受害者裝置。
網路攻擊鏈的開始是透過韓國流行的即時通訊應用程式KakaoTalk接觸受害者,攻擊者發送偽裝成壓力釋放程式的惡意文件,誘使受害者安裝帶有惡意代碼的附件。這些工具收集了Google和Naver的帳號憑證,使攻擊者能夠操控雲端服務並利用「尋找中心」功能進行重置。
在重置後,攻擊者利用受害者仍然登錄的KakaoTalk應用程式,向受害者的聯絡人發送帶有惡意代碼的文件,進一步擴大了攻擊範圍。這個快速的後續行動使得KONNI操作人員能夠在目標恢復對其裝置的訪問之前,迅速傳播其惡意負載。
此外,攻擊者還利用「尋找中心」的GPS定位功能,確定目標何時不在場,以便更有效地執行重置命令。這個策略突顯了依賴於該功能的用戶所面臨的日益增長的風險。雖然遠距重置被設計為安全防護措施,但一旦帳號憑證被盜,攻擊者便能輕易摧毀證據或造成干擾。
Genians建議使用「尋找中心」工具的用戶啟用多因素或生物辨識身分驗證。然而,對於KONNI最新行動的受害者來說,損失已經無法挽回。透過Google服務觸發重置,沒有撤銷選項,留下的只有一部空白的手機和國家駭客掩蓋痕跡的手法。
- North Korean spies turn Google’s Find Hub into remote-wipe weapon
- North Korea-linked Konni APT used Google Find Hub to erase data and spy on defectors
- Konni Hackers Turn Google’s Find Hub into a Remote Data-Wiping Weapon
- May 2025 APT Group Trends
- Google Find Hub exploited in North Korea-linked data wiping attacks
- North Korea-linked hackers sanctioned by Australia
- Korea-Based Genians Detects Massive Malware Distribution, Attributes It to Hacking Group ‘Konni’
- Kimsuky APT Takes Over South Korean Androids, Abuses KakaoTalk
- Android Devices Targeted By KONNI APT in Find Hub Exploitation
(首圖來源:shutterstock)
科技新報粉絲團
加入好友
訂閱免費電子報
