Οι Βορειοκορεάτες hackers Kimsuky πραγματοποιούν μια νέα επίθεση social engineering, που χρησιμοποιεί εικονικούς λογαριασμούς Facebook για να στοχεύσει χρήστες μέσω του Messenger και να παραδώσει malware.
“Οι επιτιθέμενοι δημιούργησαν έναν λογαριασμό στο Facebook με ψεύτικη ταυτότητα και παρουσιάζονται ως δημόσιος υπάλληλος που εργάζεται στον τομέα των ανθρωπίνων δικαιωμάτων στη Βόρεια Κορέα“, ανέφερε η εταιρεία κυβερνοασφάλειας Genians.
Η social engineering επίθεση των hackers Kimsuky περιλαμβάνει πολλά στάδια και στοχεύει κυρίως ακτιβιστές ανθρωπίνων δικαιωμάτων της Βόρειας Κορέας και οντότητες που στρέφονται κατά της Βόρειας Κορέας.
Δείτε επίσης: Η ομάδα Kimsuky αναπτύσσει το νέο Linux backdoor Gomir
Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα
Αποκαλύφθηκαν τα Cybercab robotaxi και Tesla Robovan
Πώς τα εργαλεία της OpenAI επηρεάζουν τις εκλογές;
Στη συγκεκριμένη επίθεση, δεν χρησιμοποιούνται τα κλασικά phishing emails. Οι Βορειοκορεάτες hackers Kimsuky προσεγγίζουν τα θύματα μέσω Facebook Messenger και προσπαθούν να τα ξεγελάσουν ώστε να ανοίξουν υποτιθέμενα ιδιωτικά έγγραφα.
Τα έγγραφα-δολώματα, που φιλοξενούνται στο OneDrive, είναι έγγραφα Microsoft Common Console που εμφανίζονται ως δοκίμιο ή περιεχόμενο που σχετίζεται με μια τριμερή σύνοδο κορυφής μεταξύ Ιαπωνίας, Νότιας Κορέας και ΗΠΑ — “My_Essay(prof.msc” ή “NZZ_Interview_Kohei Yamamoto. msc”.
Η θεματολογία των υποτιθέμενων εγγράφων δείχνει ότι πιθανότατα οι Βορειοκορεάτες hackers Kimsuky στοχεύουν συγκεκριμένα άτομα στην Ιαπωνία και τη Νότια Κορέα.
Η χρήση αρχείων MSC για την εξάπλωση της επίθεσης δείχνει ότι οι hackers χρησιμοποιούν ασυνήθιστους τύπους εγγράφων, προκειμένου να αποφύγουν τον εντοπισμό. Σε μια περαιτέρω προσπάθεια να αυξηθεί η πιθανότητα επιτυχίας της μόλυνσης, το έγγραφο μεταμφιέζεται ως αβλαβές αρχείο Word χρησιμοποιώντας το εικονίδιο του επεξεργαστή κειμένου.
Δείτε επίσης: Οι Kimsuky hackers στοχεύουν crypto εταιρείες με το Durian malware
Εάν ένα θύμα συναινέσει να ανοίξει το αρχείο MSC, μέσω του Microsoft Management Console (MMC), εμφανίζεται ένα console screen με ένα έγγραφο του Word που, όταν εκκινηθεί, ενεργοποιεί την επίθεση.
Αρχικά, εκτελείται μια εντολή για τη δημιουργία σύνδεσης με έναν διακομιστή που ελέγχεται από τους hackers Kimsuky (“brandwizer.co[.]in”), για την εμφάνιση ενός εγγράφου που φιλοξενείται στο Google Drive. Πρόσθετες οδηγίες εκτελούνται στο παρασκήνιο για την επίτευξη persistence καθώς και για τη συλλογή πληροφοριών.
Οι πληροφορίες που συλλέγονται διοχετεύονται στον command-and-control (C2) server, ο οποίος είναι ικανός να συλλέγει διευθύνσεις IP, User-Agent strings και timestamp πληροφορίες από τα HTTP requests. Μπορεί, ακόμα, να παραδίδει τα σχετικά malware payloads.
Δείτε επίσης: Οι Kimsuky hackers χρησιμοποιούν ScreenConnect bugs για διανομή του ToddleShark malware
Η Genians είπε ότι ορισμένες από τις τακτικές, τις τεχνικές και τις διαδικασίες (TTP) που υιοθετήθηκαν στην εκστρατεία μέσω του Facebook Messenger, ταιριάζουν με προηγούμενη δραστηριότητα των hackers Kimsuky.
Προστασία από social engineering επιθέσεις
Η εκπαίδευση και η ευαισθητοποίηση σε θέματα κυβερνοασφάλειας είναι κρίσιμη για την προστασία από επιθέσεις social engineering. Οι χρήστες πρέπει να είναι ενήμεροι για τις διάφορες μεθόδους που χρησιμοποιούν οι επιτιθέμενοι, όπως το phishing, και να γνωρίζουν πώς να αναγνωρίζουν ύποπτες δραστηριότητες.
Η χρήση ισχυρών και μοναδικών κωδικών πρόσβασης για κάθε λογαριασμό είναι απαραίτητη. Οι κωδικοί πρόσβασης πρέπει να είναι σύνθετοι, περιλαμβάνοντας κεφαλαία και μικρά γράμματα, αριθμούς και ειδικούς χαρακτήρες. Επίσης, η τακτική αλλαγή των κωδικών πρόσβασης μπορεί να μειώσει τον κίνδυνο.
Η ενεργοποίηση της πολυπαραγοντικής ταυτοποίησης (MFA) προσθέτει ένα επιπλέον επίπεδο ασφάλειας. Ακόμα και αν ένας επιτιθέμενος καταφέρει να αποκτήσει τον κωδικό πρόσβασης ενός χρήστη, η πρόσβαση στον λογαριασμό θα απαιτεί και έναν δεύτερο παράγοντα ταυτοποίησης, όπως ένα SMS ή μια εφαρμογή ταυτοποίησης.
Η τακτική ενημέρωση και αναβάθμιση του λογισμικού και των συστημάτων είναι σημαντική για την προστασία από γνωστές ευπάθειες. Οι επιτιθέμενοι συχνά εκμεταλλεύονται παλαιότερες εκδόσεις λογισμικού που δεν έχουν λάβει τις τελευταίες ενημερώσεις ασφαλείας.
Η χρήση λογισμικού προστασίας από ιούς και κακόβουλο λογισμικό μπορεί να βοηθήσει στην ανίχνευση και αποτροπή επιθέσεων. Το λογισμικό αυτό πρέπει να είναι πάντα ενημερωμένο για να μπορεί να αντιμετωπίζει τις πιο πρόσφατες απειλές.
Τέλος, η προσοχή στα μηνύματα και τα συνημμένα αρχεία είναι απαραίτητη. Όπως είδαμε, οι Kimsuky hackers στέλνουν μηνύματα στο Facebook. Οι χρήστες δεν πρέπει να ανοίγουν συνημμένα ή να κάνουν κλικ σε συνδέσμους από άγνωστους ή μη αξιόπιστους αποστολείς. Είναι επίσης σημαντικό να επαληθεύουν την αυθεντικότητα των μηνυμάτων πριν από την παροχή ευαίσθητων πληροφοριών.
Πηγή: thehackernews.com