朝鲜骇客渗透Google、Naver广告系统发动网络攻击(图)
隶属朝鲜政府的骇客组织“Konni”正采取一种高度精密且隐蔽的手法,利用韩国最大的入口网站Naver以及全球科技巨擘Google的线上广告系统,进行恶意软件的大规模散布。(图片来源:Pixabay )
【看中国2026年1月19日讯】(看中国记者杨天资综合报导)根据韩联社(Yonhap)1月19日披露的最新资安动态,以及资安公司Genians Security Center发布的深度威胁评估报告,国际网络安全领域正面临一波新的严峻挑战。这份报告详细揭露了与朝鲜政府有关的骇客组织“Konni”,正采取一种高度精密且隐蔽的手法,利用韩国最大的入口网站Naver以及全球科技巨擘Google的线上广告系统,进行恶意软件的大规模散布。这标志着朝鲜国家支持的网络攻击行动在战术上出现了显著的演进,将攻击载体隐藏于一般大众日常频繁接触的合法数位服务之中。
朝鲜骇客组织Konni的背景与战略定位
此次被点名的骇客组织名为Konni。在国际资安情报界,Konni并非新面孔,而是一个恶名昭彰的进阶持续性威胁(Advanced Persistent Threat, APT)行为者。长期以来,该组织被认为与另一个著名的朝鲜骇客团体Kimsuky有着紧密的关联,甚至在基础设施和攻击代码上有资源共享的迹象。这两个组织背后皆有平壤当局的影子,其行动目标通常与朝鲜的国家利益高度一致,包括窃取外交情报、国防机密以及针对特定异议人士进行监控。
过去,Konni主要以鱼叉式网络钓鱼(Spear Phishing)为主要攻击手段,透过伪装成公文或新闻邮件诱骗受害者。然而,最新的报告显示,该组织的攻击策略已经升级。他们不再单纯依赖电子邮件的社交工程,而是转向利用网际网络的基础设施——线上广告系统。这种转变显示出朝鲜网军在寻找新突破口时的灵活性,以及其利用全球数位生态系统漏洞的能力正在增强。
“点击追踪”机制的武器化
此次攻击的核心技术亮点,在于骇客对线上广告中“点击追踪”(click tracking)机制的恶意利用。在正常的数位行销流程中,当使用者点击一个广告时,浏览器并不会直接跳转到广告主的最终网页,而是会先经过一个由广告平台控制的“中介连结”。这个中介环节的作用是记录点击数据、分析流量来源以及进行计费结算,随后再将使用者导向目标网站。
Konni组织敏锐地发现了这个流程中的可利用空间。根据Genians Security Center的分析,骇客并非直接攻击Naver或Google的服务器,而是利用了这些平台广告系统的转址逻辑。他们伪造或劫持了中介连结,当不知情的使用者点击看似合法的广告(或是收到带有此类广告连结的钓鱼邮件)时,系统虽然会经过合法的广告追踪服务器,但随后的重新导向(Redirect)指令却被篡改。
这导致使用者最终被导向至骇客控制的外部恶意服务器,而非原本的广告页面。在这些恶意服务器上,存放着经过精心伪装的恶意档案。由于初始点击的网域属于Naver或Google等高信誉网站,传统的资安防护软件或防火墙往往会将其视为“安全流量”而放行,这使得攻击的成功率大幅提升。
攻击范围扩张:从Naver到Google
报告中特别值得关注的一点是攻击范围的扩张。初期,Konni组织主要锁定韩国本土使用率最高的入口网站Naver。这符合其针对韩国政府、智库及脱北者社群的一贯目标设定。利用Naver的广告基础设施,可以精准地打击韩国境内的特定目标群体。
然而,近期的监测数据显示,攻击行动已不再局限于韩国本土平台,而是扩大到了Google的广告系统。这一转变具有重大的战略意义。Google作为全球最大的搜寻引擎和广告联播网,其覆盖范围遍及全球。朝鲜骇客转向利用Google,意味着他们的攻击目标可能不再仅限于朝鲜半岛事务,而是意图将触角延伸至更广泛的国际社群。这可能暗示着朝鲜正在寻求更广泛的情报来源,或者试图在全球范围内建立更庞大的僵尸网络(Botnet)以备不时之需。
“波赛顿攻击”
资安分析人员在对截获的恶意软件程式码进行逆向工程分析时,发现了一个关键字眼:“Poseidon-Attack”(波赛顿攻击)。这一发现为理解此次攻击行动的组织架构提供了重要线索。
“波赛顿”这一代号的出现,显示这并非骇客个人的随机行为,而是一场经过精心策划、由上而下指挥的系统性行动。在网络战中,使用特定的专案代号通常意味着该行动拥有独立的预算、特定的战略目标以及专门的开发维护团队。这也暗示了骇客组织可能正在使用某种后台管理系统来监控感染率、管理受害主机,并持续更新恶意软件以对抗防毒软件的侦测。这种“软件即服务”(Malware-as-a-Service)式的管理模式,再次印证了朝鲜国家级骇客组织的专业化程度。
资安专家的警示与防御建议
面对日益精进的朝鲜网络攻击手法,资安专家发出了严厉警告。这波行动凸显了防御者面临的困境:当攻击来自于我们信任的基础设施(如Google或Naver)时,防御边界变得极其模糊。
针对此次威胁,专家提出了以下几点具体的防御建议:
- 警惕“捷径”档案: 报告特别提到包含连结档案的捷径(Shortcut, .lnk档案)。这是Konni组织惯用的载体。使用者应极度小心电子邮件附件中的.lnk、.iso或不明的压缩档,即便寄件者看起来是熟人或官方机构。
- 检视连结的真实性: 虽然骇客利用了合法平台的转址功能,但使用者在点击邮件中的连结前,仍应尽可能将鼠标光标悬停在连结上,检查其预览网址是否异常冗长或包含奇怪的参数。
- 强化端点防护: 传统的黑名单阻挡已不足以应对此类攻击。企业应部署端点侦测与回应(EDR)系统,透过行为分析来识别恶意程式的执行,例如侦测是否有浏览器进程异常启动了PowerShell或命令提示字符。
- 广告阻挡与过滤: 在企业网络环境中,考虑部署DNS过滤服务或广告阻挡机制,虽然这可能会影响部分使用者体验,但在高风险时期,阻断广告联播网的流量可以有效切断此类攻击的传播路径。
总结来说,朝鲜骇客组织利用Naver和Google广告系统发动的“波赛顿攻击”,揭示了当前网络战的一个危险趋势:攻击者正在不断寻求利用合法服务来掩盖其恶意行为。这不仅是对韩国,也是对全球网络安全社群的一次重大警钟,提醒各国政府与企业必须重新审视对“可信平台”的信任机制,并建立更为动态和纵深的防御体系。