Севернокорейска хакерска група имитира известни организации за кибератаки

Американски и южнокорейски разузнавателни агенции издадоха предупреждение за това, че севернокорейска група използва техники с т.нар. социално инженерство за нанасяне на удари срещу мозъчните тръстове, академичните институции и медии. По техни данни групировката се нарича Kimsuky (преди това известна с имената APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (преди това Thallium), Nickel Kimball и Velvet Chollima) и е спонсорирана от държавата.

"Северна Корея разчита в голяма степен на разузнавателна информация, получена от тези фишинг кампании", съобщават агенциите. "Успешните компрометирания на целевите лица позволяват на стоящите зад Kimsuky да създават по-надеждни и ефективни фишинг имейли, които могат да бъдат използвани срещу чувствителни цели с висока стойност."

Твърди се, че Kimsuky е на подчинение на в Главното разузнавателно бюро на Северна Корея и е известно, че събира тактическо разузнаване за геополитически събития и преговори, засягащи интересите на режима в страната. Групата е активна поне от 2012 г.

"Те стратегически се представят за легитимни източници, за да събират разузнавателна информация за геополитически събития, външнополитически стратегии и развитие на сигурността, представляващи интерес за КНДР на Корейския полуостров", обяснява Роб Джойс, съветник по киберсигурност в Агенцията за национална сигурност (NSA) на САЩ.

Сред целите на групировката са журналисти, учени, изследователи в мозъчни тръстове и правителствени служители, като целта е да се открояват лица, работещи по теми свързани със Северна Корея.

Отбелязва се още, че Kimsuky използва информация с отворен код, за да идентифицира потенциални цели и впоследствие да създава свои онлайн персони, тека че те да изглеждат по-легитимни. Създават се например имейл адреси, които приличат на имейл адреси на реални лица.

Освен използването на множество персони за комуникация с целта, електронните писма се доставят със защитени с парола злонамерени документи, прикачени директно или хоствани в Google Drive или Microsoft OneDrive. Когато бъдат отворени те подтикват получателите да активират макроси, което води до предоставяне на достъп до устройствата им чрез зловреден софтуер като BabyShark. Освен това хакерите организират автоматично препращане на всички имейли, пристигащи във пощенската кутия на жертвата, към външен имейл акаунт, контролиран от тях.

Информацията идва седмици след като компанията за киберсигурност SentinelOne подробно описа използването на персонализирани инструменти от Kimsuky като ReconShark (надстроена версия на BabyShark) и RandomQuery за разузнаване и извличане на информация.

През март пък март германските и южнокорейските власти алармираха за кибератаки, организирани от Kimsuky, които включват използването на измамни модули за браузъри с цел кражба на пощенски кутии на потребители на Gmail.