朝鲜黑客组织Kimsuky遭到黑客攻击并泄露8.9GB数据 包含黑客工具和部分攻击事件

日前朝鲜黑客组织 Kimsuky 遭到黑客攻击而泄露 8.9GB 数据，泄露的数据来自该黑客组织使用的某个工作站和某台用于钓鱼的 VPS 服务器，这些设备包含大量的敏感数据。

发起攻击的白帽黑客自称 Saber 和 cyb0rg，两名黑客称出于道德原因发起此次攻击，称 Kimsuky 出于完全错误的原因发起黑客攻击、受金钱贪婪的驱使、自视甚高且道德败坏。

泄露的数据包含 Kimsuky 黑客组织使用的部分后端，暴露该黑客组织用于发起攻击的部分工具和盗窃的数据，这些数据可以用来了解未知的攻击活动。

目前托管在分布式拒绝秘密网站上可供下载的 8.9GB 数据包含以下内容：

• 包含多个韩国国防情报司令部 (DCC) 的电子邮件账户网络钓鱼日志
• 包含多个韩国其他政府机构或韩国企业例如 Kakao、Daum.net 的攻击目标信息
• 韩国外交部电子邮件平台的完整源代码似乎也被窃取，数据中出现该平台的数据压缩包
• 部分韩国公民证件信息和大学教授名单
• PHP 生成器工具包，用来构建可以躲避检测和执行重定向技巧的网络钓鱼网站
• 实时网络钓鱼工具包
• 多个在 VirusTotal 中未被标记的二进制文档和可执行文件
• 在 VMware 缓存中发现 Cobalt Strike 加载器、反向 shell 和 Onnara 代理模块等
• 使用 SSH 连接到内部系统的 Bash 历史记录
• 部分 Chrome 历史记录和可疑的 GitHub 账号 (wwh1004.github.io)
• 通过 Google Play 购买 VPN 记录以及使用部分黑客论坛的记录

这些转储数据来自本文开头所说的工作站和 VPS 服务器，在数据暴露后相信这台 VPS 服务器应该也会被销毁，而针对数据进行分析则可以查到某些从未被记录的攻击事件。

不过暴露这些数据不会对 Kimsuky 黑客组织产生太大的影响，该黑客组织应该很快就会转移数据到新服务器并重新构建钓鱼网站，整个攻击并不会停止。