SentinelLabs, die Forschungsabteilung des Security-Anbieters SentinelOne, meldet eine gezielte Social-Engineering-Kampagne gegen Nichtregierungs-Experten für nordkoreanische Angelegenheiten. Der Schwerpunkt der Kampagne liegt demnach auf der Verbreitung von Aufklärungs-Malware und dem Diebstahl von Anmeldedaten für die Nachrichten-Website NK News. Aufgrund der verwendeten Malware, Infrastruktur und Taktik sei mit hoher Wahrscheinlichkeit davon auszugehen, dass die nordkoreanische Malware-Gruppe Kimsuky dafür verantwortlich ist.
Kimsuky ist, so SentinelLabs, eine mutmaßlich nordkoreanische Advanced Persistent Threat (APT)-Gruppe, deren Aktivitäten mit den Interessen der nordkoreanischen Regierung übereinstimmen. Sie ist für ihre weltweiten Angriffe auf Organisationen und Einzelpersonen bekannt. Die Gruppe, die seit mindestens 2012 aktiv ist, setzt häufig gezielte Phishing- und Social-Engineering-Taktiken ein, um Informationen zu sammeln und an sensible Daten zu gelangen.
Eine interessante Beobachtung ist laut SentinelLabs, dass die Bedrohungsakteure sich darauf konzentrieren, einen Erstkontakt herzustellen und eine Beziehung zu ihren Zielen aufzubauen, bevor sie die Opfer kompromittieren. Als Teil ihrer Strategie für den Erstkontakt gab sich die Gruppe als Chad O’Carroll aus, dem Gründer von NK News und der zugehörigen Holdinggesellschaft Korea Risk Group, und verwendete eine von den Angreifern erstellte Domain, „nknews[.]pro“, die der tatsächlichen NK News-Domain „nknews.org“ sehr ähnlich ist. In der initialen Schein-Mail wird um die Überprüfung eines Artikelentwurfs gebeten, in dem die von Nordkorea ausgehende nukleare Bedrohung analysiert wird.
Lässt sich die Zielperson auf die Konversation ein, wird die Gelegenheit genutzt, um eine gefälschte URL zu einem Google-Dokument zu übermitteln, das zu einer bösartigen Website weiterleitet. Diese wurde speziell dafür entwickelt, Google-Anmeldedaten zu erfassen. Auch Office-Dokumente, die die ReconShark-Aufklärungs-Malware ausführen, können verwendet werden. Darüber hinaus wird auch versucht Anmeldeinformationen von NK News zu stehlen. Um dies zu erreichen, verschickt die Gruppe E-Mails, die die Zielpersonen dazu verleiten, sich auf der bösartigen Website „nknews[.]pro“ anzumelden, die sich als die authentische NK News-Website ausgibt.
Die Hacker zielen aktiv auf hochkarätige Experten für nordkoreanische Angelegenheiten ab, um Anmeldedaten von prominenten Nachrichten- und Analysediensten mit Nordkorea-Bezug zu stehlen. SentinelLabs zufolge zeigt Kimsuky damit ein gesteigertes Interesse daran, wie die internationale Gemeinschaft die Entwicklungen in Bezug auf Nordkorea wahrnimmt, beispielsweise die militärischen Aktivitäten des Landes.
Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.