Sicherheitsforscher haben gewarnt, dass von der nordkoreanischen Regierung unterstützte Hacker sich als Journalisten ausgeben, um strategische Informationen zu sammeln, die als Entscheidungshilfe für das Land dienen sollen.
SentinelLabs-Forscher sagte am Dienstag dass sie eine Social-Engineering-Kampagne, die sich an Experten für nordkoreanische Angelegenheiten richtete, mit einer nordkoreanischen Advanced Persistent Threat (APT)-Gruppe namens Kimsuky in Verbindung gebracht hatten. Die Gruppe, auch bekannt als APT43, Thallium und Black Banshee, ist seit mindestens 2012 tätig und dafür bekannt, Social Engineering und gezielte Phishing-E-Mails einzusetzen und im Auftrag des nordkoreanischen Regimes sensible Informationen zu sammeln.
Kimsukys neueste Social-Engineering-Kampagne richtete sich an Abonnenten von NK-Nachrichteneine amerikanische abonnementbasierte Website, die Geschichten und Analysen über Nordkorea bietet.
SentinelLabs beobachtete, wie Kimsuky sich als Chad O’Carroll, den Gründer von NK News, ausgab, um den Abonnenten von NK News einen gefälschten Google Docs-Weblink zu übermitteln, der auf eine bösartige Website weiterleitete, die speziell zur Erfassung der Google-Anmeldeinformationen eines Opfers erstellt wurde. In einigen Fällen lieferten die Kimsuky-Hacker auch ein waffenfähiges Microsoft Office-Dokument, das die ReconShark-Malware ausführt, die dazu in der Lage ist Informationen herausfiltern B. welche Erkennungsmechanismen auf einem Gerät verwendet werden und Informationen über das Gerät selbst.
Bei einem weiteren von SentinelLabs beobachteten Angriff verteilte Kimsuky eine E-Mail, in der Abonnenten aufgefordert wurden, sich bei einem gefälschten NK News-Abonnementdienst anzumelden. Der Zugriff auf die NK News-Anmeldeinformationen der Benutzer würde den nordkoreanischen Hackern „wertvolle Einblicke in die Bewertung und Interpretation der Entwicklungen im Zusammenhang mit Nordkorea durch die internationale Gemeinschaft verschaffen und zu ihren umfassenderen strategischen Initiativen zur Informationsbeschaffung beitragen“, schrieb Aleksandar Milenkosi, ein hochrangiger Bedrohungssänger Forscher bei SentinelLabs.
Es wurde auch beobachtet, dass Kimsuky legitime Google Docs-Links und Word-Dokumente verschickte, die frei von Malware waren, um eine Beziehung zu ihren Zielen aufzubauen, bevor sie ihre böswilligen Aktivitäten starteten.
Die Analyse von SentinelLabs erfolgt wenige Tage nach der Veröffentlichung einer Stellungnahme der Regierungen der USA und Südkoreas beratend warnend, dass Kimsuky gezielte Spearphishing-Angriffe durchgeführt habe, um wertvolle geopolitische Erkenntnisse und andere gestohlene Daten an das nordkoreanische Regime weiterzuleiten.
In der gemeinsamen Stellungnahme wurde gewarnt, dass die Kimsuky-Gruppe sich als Journalisten, Akademiker, Think-Tank-Forscher und Regierungsbeamte ausgibt, um Personen ins Visier zu nehmen, die sich mit nordkoreanischen Angelegenheiten befassen.
„Diese Cyber-Akteure geben sich strategisch als legitime Quellen aus, um Informationen über geopolitische Ereignisse, außenpolitische Strategien und sicherheitsrelevante Entwicklungen zu sammeln [North Korea] auf der koreanischen Halbinsel“, sagte Rob Joyce, Direktor für Cybersicherheit der NSA. „Bildung und Aufklärung sind die erste Verteidigungslinie gegen diese Social-Engineering-Angriffe.“
Damals auch das südkoreanische Außenministerium (MOFA). Sanktionen verhängt über die nordkoreanische Hackergruppe und identifiziert zwei Kryptowährungsadressen von Kimsuky verwendet. Auch die Regierung beschuldigt Die Gruppe soll letzte Woche an einem gescheiterten Spionagesatellitenstart beteiligt gewesen sein.