Cluster25发现针对韩国人的新型网络钓鱼攻击活动

Cluster25称，该攻击于4月首次被发现，旨在窃取韩国个人数据。它们通过鱼叉式网络钓鱼邮件攻击目标，这些电子邮件包含伪装成来自韩国互联网信息中心、互联网安全公司或加密货币公司的恶意Word文档。如果恶意文档被打开，它会下载远程模板来利用注入漏洞(跟踪为CVE-2017-0199)执行恶意VBA脚本。VBA代码使用两个嵌入的远程URL作为下一阶段杀戮链的下载器。在此活动中，所有域都是通过域生成算法(DGA)生成的，并且因每个有效载荷而异。这场运动与先前的Kitty钓鱼行动很相似。