- SentinelLabs heeft een social engineering-campagne van de Noord-Koreaanse APT-groep Kimsuky gevolgd, gericht op experts in Noord-Koreaanse zaken.
- Het doel van de campagne is om Google- en abonnementsgegevens te stelen van een gerenommeerde, Noord-Koreaanse nieuws- en analysedienst en om verkenningsmalware achter te laten.
- Kimsuky gebruikt uitgebreide e-mailcorrespondentie, vervalste URL’s, websites die lijken op legitieme sites en Office-documenten met ReconShark-malware.
- Dit laat zien dat Kimsuky steeds meer bezig is met social engineering en dat het strategische informatie wil verzamelen
Amsterdam, 14 juni 2023 - SentinelLabs, het researchteam van
SentinelOne, heeft samen met
NK News, een abonnementsdienst met nieuws en analyses over Noord-Korea, een social engineering-campagne gevolgd, gericht op experts in Noord-Koreaanse zaken uit de niet-overheidssector. Het doel van de campagne is diefstal van e-mailgegevens, levering van verkenningsmalware en diefstal van NK News-abonnementsgegevens. Op basis van de malware, infrastructuur en tactieken die worden gebruikt, is de kans erg groot dat de campagne afkomstig is
Kimsuky.
De tactieken van Kimsuky
Kimsuky is een Noord-Koreaanse advanced persistent threat (APT)-groep, wiens activiteiten aansluiten bij de belangen van de Noord-Koreaanse overheid. Het staat bekend om zijn wereldwijde aanvallen op organisaties en individuen. De groep is sowieso al sinds 2012 actief en maakt vaak gebruik van gerichte phishing en social engineering-tactieken om toegang te krijgen tot gevoelige informatie.
Kimsuky legt het eerste contact, bouwt een band op met hun doelwitten en wekt vertrouwen voordat ze kwaadaardige activiteiten uitvoeren, in de hoop dat hun activiteiten hierdoor succesvoller zijn. Als onderdeel van hun strategie deden ze zich voor als Chad O’Carroll, de oprichter van NK News en de bijbehorende holding Korea Risk Group, met behulp van een gecreëerd domein dat sterk lijkt op het legitieme NK News-domein.
In de eerste e-mail die een doelwit krijgt, wordt gevraagd om een artikel te reviewen waarin de nucleaire dreiging van Noord-Korea wordt geanalyseerd. Als het doelwit reageert, deelt Kimsuky een vervalste Google-document-URL, die omleidt naar een schadelijke website die speciaal is ontwikkeld om Google-informatie te stelen. De website lijkt erg op de echte NK News-site. Een ander doel van Kimsuky is om aanmeldingsgegevens van NK News te stelen. De groep verstuurt ook van een Office-document dat de
ReconShark-verkenningsmalware gebruikt.
Blijven monitoren
SentinelLabs blijft de activiteiten van Kimsuky actief volgen. De huidige bevindingen laten zien dat de groep gerichte social engineering-aanvallen gebruikt. Het is belangrijk dat potentiële doelwitten zich bewust worden van en inzicht krijgen in de tactieken van Kimsuky. Oplettendheid en effectieve beveiligingsmaatregelen zijn noodzakelijk om de risico’s te beperken.
Bezoek voor meer achtergrondinformatie en de technische analyse
deze Engelstalige blog.