TA427 denktank/overheidsspoofing
Onderzoek van cybersecuritybedrijf Proofpoint wijst uit dat Noord-Korea TA427, gelieerd aan DPRK, sponsort.
- Het Proofpoint Threat Research Team ontdekt eendoorlopende cyberspionagecampagne, uitgevoerd door TA427 (ook bekend als Emerald Sleet, APT43, THALLIUM, Kimsuky). Noord-Korea sponsort deze dreigingsactor.
- TA427 identificeert sinds december 2023 organisaties die niet over Domain-based Message Authentication, Reporting en Conformance (DMARC) beleid* beschikken. Ook dwingt het personeel af voor het spoofen van denktanks in het reply-to-field. Het doel is het overtuigen van de doelwitten dat ze met legitiem personeel te maken hebben. TA427 gebruikt een sterke beheersing van de Engelse taal in de lok-e-mails en zet speciaal ontworpen inhoud in die per doelwit relevant is.
- In een poging tot het verzamelen van informatie over het buitenlandse beleid van de Verenigde Staten en Zuid-Korea, gaat TA427 namens het Noord-Koreaanse regime een goedaardig lijkend gesprek aan van weken tot maanden.
- TA427 doet meerdere pogingen tot het starten van gesprekken, om later gerichte organisaties te infecteren met malware, zoals RandomQuery of ReconShark.
Bumblebee-malware keert terug
Het Threat Research Team van Proofpoint stelt, na de afwezigheid van vier maanden, de
terugkeer van Bumblebee-malware vast.
- Bumblebee is een geavanceerde downloader.
- Meerdere cybercriminelen dreigingsactoren gebruiken deze downloader.
- Bumblebee was, voordat het verdween, een favoriete payload vanaf de eerste verschijning in maart 2022 tot oktober 2023.
- De terugkeer valt samen met een toename van cybercriminele dreigingsactiviteit na een opvallende afwezigheid van verschillende dreigingsactoren en malware.
- Proofpoint observeerde in de meest recente campagne duizenden e-mails die zich richten op organisaties in de Verenigde Staten. Deze campagnes bevatten OneDrive URL’s die leiden naar een Word-bestand. Dit bestand bootst een bedrijf in consumentenelektronica na.
*Domain-based Message Authentication, Reporting en Conformance (DMARC) analyse van NL25 bedrijven. DMARC is een e-mailvalidatieprotocol dat is ontwikkeld om te voorkomen dat cybercriminelen misbruik maken van domeinnamen. Het verifieert de identiteit van de afzender voordat een bericht de ontvanger bereikt. DMARC heeft drie beschermingsniveaus – monitor, quarantine, en reject, waarvan reject het sterkst beveiligd is en voorkomt dat verdachte e-mails de inbox bereiken.
Noot voor de redactie
Neem voor vragen contact op met
NLProofpoint@axicom.com. Wij brengen u graag in contact met een van de onderzoekers van Proofpoint.