Ερευνητές ασφαλείας έχουν προειδοποιήσει ότι οι χάκερ Kimsuky που υποστηρίζονται από την κυβέρνηση της Βόρειας Κορέας υποδύονται τους δημοσιογράφους προκειμένου να συγκεντρώσουν στρατηγικές πληροφορίες που θα βοηθήσουν στη λήψη αποφάσεων της χώρας.
Οι ερευνητές της SentinelLabs δήλωσαν την Τρίτη ότι συνέδεσαν μια εκστρατεία social engineering, η οποία στόχευε ειδικούς σε θέματα της Βόρειας Κορέας, με μια βορειοκορεατική ομάδα APT, γνωστή ως Kimsuky. Η ομάδα, επίσης γνωστή ως APT43, Thallium και Black Banshee, δραστηριοποιείται τουλάχιστον από το 2012 και είναι γνωστή για τη χρήση social engineering και στοχευμένων ηλεκτρονικών μηνυμάτων phishing για τη συλλογή ευαίσθητων πληροφοριών για λογαριασμό του καθεστώτος της Βόρειας Κορέας.
Η τελευταία εκστρατεία social engineering της ομάδας Kimsuky είχε ως στόχο τους συνδρομητές του NK News, ενός αμερικανικού συνδρομητικού ιστότοπου που παρέχει νέα και αναλύσεις σχετικά με τη Βόρεια Κορέα.
Δείτε επίσης: Τα παραδοσιακά malware εκμεταλλεύονται το ενδιαφέρον για το ChatGPT
Η Sentinel Labs παρατήρησε ότι ο απειλητικός παράγοντας Kimsuky παρίστανε τον Chad O’Carroll, τον ιδρυτή του NK News, προκειμένου να παραδώσει έναν παραποιημένο σύνδεσμο Google Docs στους συνδρομητές του NK News. Αυτός ο σύνδεσμος κάνει redirect σε έναν κακόβουλο ιστότοπο, ο οποίος ήταν ειδικά διαμορφωμένος για να κλέβει τα Google credentials των θυμάτων. Σε ορισμένες περιπτώσεις, οι χάκερ Kimsuky παρέδωσαν και ένα weaponized Microsoft Office έγγραφο που εκτελεί το ReconShark malware, το οποίο είναι ικανό να αποκρύψει πληροφορίες όπως οι μηχανισμοί ανίχνευσης που χρησιμοποιούνται σε μια συσκευή και πληροφορίες σχετικά με την ίδια τη συσκευή.
Σε μια άλλη επίθεση που παρατηρήθηκε από την SentinelLabs, ο απειλητικός παράγοντας Kimsuky διένειμε ένα μήνυμα ηλεκτρονικού ταχυδρομείου που ζητούσε από τους συνδρομητές να συνδεθούν σε μια παραποιημένη υπηρεσία συνδρομής NK News. Η απόκτηση πρόσβασης στα διαπιστευτήρια των χρηστών του NK News θα παρείχε στους Βορειοκορεάτες χάκερ “πολύτιμες πληροφορίες για το πώς η διεθνής κοινότητα αξιολογεί και ερμηνεύει τις εξελίξεις που σχετίζονται με τη Βόρεια Κορέα”, συμβάλλοντας στις ευρύτερες πρωτοβουλίες τους για τη συλλογή στρατηγικών πληροφοριών, όπως έγραψε ο Aleksandar Milenkoski, ανώτερος ερευνητής απειλών της SentinelLabs.
Η Kimsuky παρατηρήθηκε επίσης να στέλνει νόμιμους συνδέσμους Google Docs και έγγραφα Word που δεν περιείχαν κακόβουλο λογισμικό, προκειμένου να αναπτύξει μια σχέση με τους στόχους του πριν ξεκινήσει τις κακόβουλες δραστηριότητές της.
Η ανάλυση της Sentinel Labs έρχεται λίγες ημέρες αφότου οι κυβερνήσεις των ΗΠΑ και της Νότιας Κορέας εξέδωσαν συμβουλευτική προειδοποίηση ότι η Kimsuky πραγματοποιούσε στοχευμένες επιθέσεις spear-phishing για να διοχετεύσει πολύτιμες γεωπολιτικές πληροφορίες και άλλα κλεμμένα δεδομένα στο καθεστώς της Βόρειας Κορέας.
Δείτε επίσης: Η φαρμακοβιομηχανία Eisai δέχτηκε επίθεση ransomware
Το κοινό advisory προειδοποίησε ότι η ομάδα Kimsuky υποδύεται δημοσιογράφους, ακαδημαϊκούς, ερευνητές δεξαμενών σκέψης και κυβερνητικούς αξιωματούχους για να στοχοποιήσει άτομα που ασχολούνται με υποθέσεις της Βόρειας Κορέας.
Πηγή πληροφοριών: techcrunch.com
