Nordkorea-Malware-Gruppe Kimsuky greift NGOs an

SentinelLabs, die Forschungsabteilung des Security-Anbieters SentinelOne, meldet eine gezielte Social-Engineering-Kampagne gegen Nichtregierungs-Experten für nordkoreanische Angelegenheiten. Der Schwerpunkt der Kampagne liegt demnach auf der Verbreitung von Aufklärungs-Malware und dem Diebstahl von Anmeldedaten für die Nachrichten-Website NK News. Aufgrund der verwendeten Malware, Infrastruktur und Taktik sei mit hoher Wahrscheinlichkeit davon auszugehen, dass die nordkoreanische Malware-Gruppe Kimsuky dafür verantwortlich ist.

Angriffe seit mindestens 2012

Kimsuky ist, so SentinelLabs, eine mutmaßlich nordkoreanische Advanced Persistent Threat (APT)-Gruppe, deren Aktivitäten mit den Interessen der nordkoreanischen Regierung übereinstimmen. Sie ist für ihre weltweiten Angriffe auf Organisationen und Einzelpersonen bekannt. Die Gruppe, die seit mindestens 2012 aktiv ist, setzt häufig gezielte Phishing- und Social-Engineering-Taktiken ein, um Informationen zu sammeln und an sensible Daten zu gelangen.

Eine interessante Beobachtung ist laut SentinelLabs, dass die Bedrohungsakteure sich darauf konzentrieren, einen Erstkontakt herzustellen und eine Beziehung zu ihren Zielen aufzubauen, bevor sie die Opfer kompromittieren. Als Teil ihrer Strategie für den Erstkontakt gab sich die Gruppe als Chad O’Carroll aus, dem Gründer von NK News und der zugehörigen Holdinggesellschaft Korea Risk Group, und verwendete eine von den Angreifern erstellte Domain, „nknews[.]pro“, die der tatsächlichen NK News-Domain „nknews.org“ sehr ähnlich ist. In der initialen Schein-Mail wird um die Überprüfung eines Artikelentwurfs gebeten, in dem die von Nordkorea ausgehende nukleare Bedrohung analysiert wird.

Nordkorea-News-Website im Visier

Lässt sich die Zielperson auf die Konversation ein, wird die Gelegenheit genutzt, um eine gefälschte URL zu einem Google-Dokument zu übermitteln, das zu einer bösartigen Website weiterleitet. Diese wurde speziell dafür entwickelt, Google-Anmeldedaten zu erfassen. Auch Office-Dokumente, die die ReconShark-Aufklärungs-Malware ausführen, können verwendet werden. Darüber hinaus wird auch versucht Anmeldeinformationen von NK News zu stehlen. Um dies zu erreichen, verschickt die Gruppe E-Mails, die die Zielpersonen dazu verleiten, sich auf der bösartigen Website „nknews[.]pro“ anzumelden, die sich als die authentische NK News-Website ausgibt.

Die Hacker zielen aktiv auf hochkarätige Experten für nordkoreanische Angelegenheiten ab, um Anmeldedaten von prominenten Nachrichten- und Analysediensten mit Nordkorea-Bezug zu stehlen. SentinelLabs zufolge zeigt Kimsuky damit ein gesteigertes Interesse daran, wie die internationale Gemeinschaft die Entwicklungen in Bezug auf Nordkorea wahrnimmt, beispielsweise die militärischen Aktivitäten des Landes.

Matthias Longo

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

8 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

12 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

13 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

13 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

14 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

16 Stunden ago