North Korea flag is depicted in liquid watercolor style isolated on white background. Careless paint shading with image of national flag. Independence Day banner
SentinelLabs, die Forschungsabteilung des Security-Anbieters SentinelOne, meldet eine gezielte Social-Engineering-Kampagne gegen Nichtregierungs-Experten für nordkoreanische Angelegenheiten. Der Schwerpunkt der Kampagne liegt demnach auf der Verbreitung von Aufklärungs-Malware und dem Diebstahl von Anmeldedaten für die Nachrichten-Website NK News. Aufgrund der verwendeten Malware, Infrastruktur und Taktik sei mit hoher Wahrscheinlichkeit davon auszugehen, dass die nordkoreanische Malware-Gruppe Kimsuky dafür verantwortlich ist.
Kimsuky ist, so SentinelLabs, eine mutmaßlich nordkoreanische Advanced Persistent Threat (APT)-Gruppe, deren Aktivitäten mit den Interessen der nordkoreanischen Regierung übereinstimmen. Sie ist für ihre weltweiten Angriffe auf Organisationen und Einzelpersonen bekannt. Die Gruppe, die seit mindestens 2012 aktiv ist, setzt häufig gezielte Phishing- und Social-Engineering-Taktiken ein, um Informationen zu sammeln und an sensible Daten zu gelangen.
Eine interessante Beobachtung ist laut SentinelLabs, dass die Bedrohungsakteure sich darauf konzentrieren, einen Erstkontakt herzustellen und eine Beziehung zu ihren Zielen aufzubauen, bevor sie die Opfer kompromittieren. Als Teil ihrer Strategie für den Erstkontakt gab sich die Gruppe als Chad O’Carroll aus, dem Gründer von NK News und der zugehörigen Holdinggesellschaft Korea Risk Group, und verwendete eine von den Angreifern erstellte Domain, „nknews[.]pro“, die der tatsächlichen NK News-Domain „nknews.org“ sehr ähnlich ist. In der initialen Schein-Mail wird um die Überprüfung eines Artikelentwurfs gebeten, in dem die von Nordkorea ausgehende nukleare Bedrohung analysiert wird.
Lässt sich die Zielperson auf die Konversation ein, wird die Gelegenheit genutzt, um eine gefälschte URL zu einem Google-Dokument zu übermitteln, das zu einer bösartigen Website weiterleitet. Diese wurde speziell dafür entwickelt, Google-Anmeldedaten zu erfassen. Auch Office-Dokumente, die die ReconShark-Aufklärungs-Malware ausführen, können verwendet werden. Darüber hinaus wird auch versucht Anmeldeinformationen von NK News zu stehlen. Um dies zu erreichen, verschickt die Gruppe E-Mails, die die Zielpersonen dazu verleiten, sich auf der bösartigen Website „nknews[.]pro“ anzumelden, die sich als die authentische NK News-Website ausgibt.
Die Hacker zielen aktiv auf hochkarätige Experten für nordkoreanische Angelegenheiten ab, um Anmeldedaten von prominenten Nachrichten- und Analysediensten mit Nordkorea-Bezug zu stehlen. SentinelLabs zufolge zeigt Kimsuky damit ein gesteigertes Interesse daran, wie die internationale Gemeinschaft die Entwicklungen in Bezug auf Nordkorea wahrnimmt, beispielsweise die militärischen Aktivitäten des Landes.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…