与朝鲜相关的APT小组STOLEN PENCIL自今年5月以来一直瞄准学术机构。该活动的许多受害者位于多所大学,都是生物医学工程方面的专业人士。该组织主要利用网络钓鱼攻击学术机构,网络钓鱼邮件包括指向网站的链接,其中的诱饵文档试图欺骗用户安装恶意Google Chrome扩展程序。
攻击者使用了仿冒页面,其中较为复杂的目标是学术界在IFRAME中显示良性PDF,并将用户重定向到Chrome网上应用店的“字体管理器”扩展。恶意扩展从一个单独的站点加载JavaScript,但目前只发现一个包含合法jQuery代码的文件,可能是因为攻击者更换了恶意代码以进行分析。恶意扩展允许攻击者从受害者访问的所有网站读取数据,这种情况表明攻击者希望窃取浏览器cookie和密码。
STOLEN PENCIL活动可能仅代表攻击者活动的一小部分。安全研究人员表示,使用基本技术,现成的程序,前面提到的加密技术以及韩语的使用表明背后操作的是朝鲜人。