隸屬朝鮮政府的駭客組織「Konni」正採取一種高度精密且隱蔽的手法,利用韓國最大的入口網站Naver以及全球科技巨擘Google的線上廣告系統,進行惡意軟體的大規模散布。(圖片來源:Pixabay )
【看中國2026年1月19日訊】(看中國記者楊天資綜合報導)根據韓聯社(Yonhap)1月19日披露的最新資安動態,以及資安公司Genians Security Center發布的深度威脅評估報告,國際網路安全領域正面臨一波新的嚴峻挑戰。這份報告詳細揭露了與朝鮮政府有關的駭客組織「Konni」,正採取一種高度精密且隱蔽的手法,利用韓國最大的入口網站Naver以及全球科技巨擘Google的線上廣告系統,進行惡意軟體的大規模散布。這標誌著朝鮮國家支持的網路攻擊行動在戰術上出現了顯著的演進,將攻擊載體隱藏於一般大眾日常頻繁接觸的合法數位服務之中。
朝鮮駭客組織Konni的背景與戰略定位
此次被點名的駭客組織名為Konni。在國際資安情報界,Konni並非新面孔,而是一個惡名昭彰的進階持續性威脅(Advanced Persistent Threat, APT)行為者。長期以來,該組織被認為與另一個著名的朝鮮駭客團體Kimsuky有著緊密的關聯,甚至在基礎設施和攻擊代碼上有資源共享的跡象。這兩個組織背後皆有平壤當局的影子,其行動目標通常與朝鮮的國家利益高度一致,包括竊取外交情報、國防機密以及針對特定異議人士進行監控。
過去,Konni主要以魚叉式網路釣魚(Spear Phishing)為主要攻擊手段,透過偽裝成公文或新聞郵件誘騙受害者。然而,最新的報告顯示,該組織的攻擊策略已經升級。他們不再單純依賴電子郵件的社交工程,而是轉向利用網際網路的基礎設施——線上廣告系統。這種轉變顯示出朝鮮網軍在尋找新突破口時的靈活性,以及其利用全球數位生態系統漏洞的能力正在增強。
「點擊追蹤」機制的武器化
此次攻擊的核心技術亮點,在於駭客對線上廣告中「點擊追蹤」(click tracking)機制的惡意利用。在正常的數位行銷流程中,當使用者點擊一個廣告時,瀏覽器並不會直接跳轉到廣告主的最終網頁,而是會先經過一個由廣告平台控制的「中介連結」。這個中介環節的作用是記錄點擊數據、分析流量來源以及進行計費結算,隨後再將使用者導向目標網站。
Konni組織敏銳地發現了這個流程中的可利用空間。根據Genians Security Center的分析,駭客並非直接攻擊Naver或Google的伺服器,而是利用了這些平台廣告系統的轉址邏輯。他們偽造或劫持了中介連結,當不知情的使用者點擊看似合法的廣告(或是收到帶有此類廣告連結的釣魚郵件)時,系統雖然會經過合法的廣告追蹤伺服器,但隨後的重新導向(Redirect)指令卻被篡改。
這導致使用者最終被導向至駭客控制的外部惡意伺服器,而非原本的廣告頁面。在這些惡意伺服器上,存放著經過精心偽裝的惡意檔案。由於初始點擊的網域屬於Naver或Google等高信譽網站,傳統的資安防護軟體或防火牆往往會將其視為「安全流量」而放行,這使得攻擊的成功率大幅提升。
攻擊範圍擴張:從Naver到Google
報告中特別值得關注的一點是攻擊範圍的擴張。初期,Konni組織主要鎖定南韓本土使用率最高的入口網站Naver。這符合其針對南韓政府、智庫及脫北者社群的一貫目標設定。利用Naver的廣告基礎設施,可以精準地打擊南韓境內的特定目標群體。
然而,近期的監測數據顯示,攻擊行動已不再侷限於南韓本土平台,而是擴大到了Google的廣告系統。這一轉變具有重大的戰略意義。Google作為全球最大的搜尋引擎和廣告聯播網,其覆蓋範圍遍及全球。朝鮮駭客轉向利用Google,意味著他們的攻擊目標可能不再僅限於朝鮮半島事務,而是意圖將觸角延伸至更廣泛的國際社群。這可能暗示著朝鮮正在尋求更廣泛的情報來源,或者試圖在全球範圍內建立更龐大的殭屍網路(Botnet)以備不時之需。
「波賽頓攻擊」
資安分析人員在對截獲的惡意軟體程式碼進行逆向工程分析時,發現了一個關鍵字眼:「Poseidon-Attack」(波賽頓攻擊)。這一發現為理解此次攻擊行動的組織架構提供了重要線索。
「波賽頓」這一代號的出現,顯示這並非駭客個人的隨機行為,而是一場經過精心策劃、由上而下指揮的系統性行動。在網路戰中,使用特定的專案代號通常意味著該行動擁有獨立的預算、特定的戰略目標以及專門的開發維護團隊。這也暗示了駭客組織可能正在使用某種後台管理系統來監控感染率、管理受害主機,並持續更新惡意軟體以對抗防毒軟體的偵測。這種「軟體即服務」(Malware-as-a-Service)式的管理模式,再次印證了朝鮮國家級駭客組織的專業化程度。
資安專家的警示與防禦建議
面對日益精進的朝鮮網路攻擊手法,資安專家發出了嚴厲警告。這波行動凸顯了防禦者面臨的困境:當攻擊來自於我們信任的基礎設施(如Google或Naver)時,防禦邊界變得極其模糊。
針對此次威脅,專家提出了以下幾點具體的防禦建議:
- 警惕「捷徑」檔案: 報告特別提到包含連結檔案的捷徑(Shortcut, .lnk檔案)。這是Konni組織慣用的載體。使用者應極度小心電子郵件附件中的.lnk、.iso或不明的壓縮檔,即便寄件者看起來是熟人或官方機構。
- 檢視連結的真實性: 雖然駭客利用了合法平台的轉址功能,但使用者在點擊郵件中的連結前,仍應盡可能將滑鼠游標懸停在連結上,檢查其預覽網址是否異常冗長或包含奇怪的參數。
- 強化端點防護: 傳統的黑名單阻擋已不足以應對此類攻擊。企業應部署端點偵測與回應(EDR)系統,透過行為分析來識別惡意程式的執行,例如偵測是否有瀏覽器進程異常啟動了PowerShell或命令提示字元。
- 廣告阻擋與過濾: 在企業網路環境中,考慮部署DNS過濾服務或廣告阻擋機制,雖然這可能會影響部分使用者體驗,但在高風險時期,阻斷廣告聯播網的流量可以有效切斷此類攻擊的傳播路徑。
總結來說,朝鮮駭客組織利用Naver和Google廣告系統發動的「波賽頓攻擊」,揭示了當前網路戰的一個危險趨勢:攻擊者正在不斷尋求利用合法服務來掩蓋其惡意行為。這不僅是對韓國,也是對全球網路安全社群的一次重大警鐘,提醒各國政府與企業必須重新審視對「可信平台」的信任機制,並建立更為動態和縱深的防禦體系。
来源:看中國
短网址: 版權所有,任何形式轉載需本站授權許可。 嚴禁建立鏡像網站。
【誠徵榮譽會員】溪流能夠匯成大海,小善可以成就大愛。我們向全球華人誠意徵集萬名榮譽會員:每位榮譽會員每年只需支付一份訂閱費用,成為《看中國》網站的榮譽會員,就可以助力我們突破審查與封鎖,向至少10000位中國大陸同胞奉上獨立真實的關鍵資訊, 在危難時刻向他們發出預警,救他們於大瘟疫與其它社會危難之中。
