Nordkorea-Malware-Gruppe Kimsuky greift NGOs an

SentinelLabs, die Forschungsabteilung des Security-Anbieters SentinelOne, meldet eine gezielte Social-Engineering-Kampagne gegen Nichtregierungs-Experten für nordkoreanische Angelegenheiten. Der Schwerpunkt der Kampagne liegt demnach auf der Verbreitung von Aufklärungs-Malware und dem Diebstahl von Anmeldedaten für die Nachrichten-Website NK News. Aufgrund der verwendeten Malware, Infrastruktur und Taktik sei mit hoher Wahrscheinlichkeit davon auszugehen, dass die nordkoreanische Malware-Gruppe Kimsuky dafür verantwortlich ist.

Angriffe seit mindestens 2012

Kimsuky ist, so SentinelLabs, eine mutmaßlich nordkoreanische Advanced Persistent Threat (APT)-Gruppe, deren Aktivitäten mit den Interessen der nordkoreanischen Regierung übereinstimmen. Sie ist für ihre weltweiten Angriffe auf Organisationen und Einzelpersonen bekannt. Die Gruppe, die seit mindestens 2012 aktiv ist, setzt häufig gezielte Phishing- und Social-Engineering-Taktiken ein, um Informationen zu sammeln und an sensible Daten zu gelangen.

Eine interessante Beobachtung ist laut SentinelLabs, dass die Bedrohungsakteure sich darauf konzentrieren, einen Erstkontakt herzustellen und eine Beziehung zu ihren Zielen aufzubauen, bevor sie die Opfer kompromittieren. Als Teil ihrer Strategie für den Erstkontakt gab sich die Gruppe als Chad O’Carroll aus, dem Gründer von NK News und der zugehörigen Holdinggesellschaft Korea Risk Group, und verwendete eine von den Angreifern erstellte Domain, „nknews[.]pro“, die der tatsächlichen NK News-Domain „nknews.org“ sehr ähnlich ist. In der initialen Schein-Mail wird um die Überprüfung eines Artikelentwurfs gebeten, in dem die von Nordkorea ausgehende nukleare Bedrohung analysiert wird.

Nordkorea-News-Website im Visier

Lässt sich die Zielperson auf die Konversation ein, wird die Gelegenheit genutzt, um eine gefälschte URL zu einem Google-Dokument zu übermitteln, das zu einer bösartigen Website weiterleitet. Diese wurde speziell dafür entwickelt, Google-Anmeldedaten zu erfassen. Auch Office-Dokumente, die die ReconShark-Aufklärungs-Malware ausführen, können verwendet werden. Darüber hinaus wird auch versucht Anmeldeinformationen von NK News zu stehlen. Um dies zu erreichen, verschickt die Gruppe E-Mails, die die Zielpersonen dazu verleiten, sich auf der bösartigen Website „nknews[.]pro“ anzumelden, die sich als die authentische NK News-Website ausgibt.

Die Hacker zielen aktiv auf hochkarätige Experten für nordkoreanische Angelegenheiten ab, um Anmeldedaten von prominenten Nachrichten- und Analysediensten mit Nordkorea-Bezug zu stehlen. SentinelLabs zufolge zeigt Kimsuky damit ein gesteigertes Interesse daran, wie die internationale Gemeinschaft die Entwicklungen in Bezug auf Nordkorea wahrnimmt, beispielsweise die militärischen Aktivitäten des Landes.

Matthias Longo

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

8 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

1 Tag ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago