Nordkorea-Malware-Gruppe Kimsuky greift NGOs an

SentinelLabs, die Forschungsabteilung des Security-Anbieters SentinelOne, meldet eine gezielte Social-Engineering-Kampagne gegen Nichtregierungs-Experten für nordkoreanische Angelegenheiten. Der Schwerpunkt der Kampagne liegt demnach auf der Verbreitung von Aufklärungs-Malware und dem Diebstahl von Anmeldedaten für die Nachrichten-Website NK News. Aufgrund der verwendeten Malware, Infrastruktur und Taktik sei mit hoher Wahrscheinlichkeit davon auszugehen, dass die nordkoreanische Malware-Gruppe Kimsuky dafür verantwortlich ist.

Angriffe seit mindestens 2012

Kimsuky ist, so SentinelLabs, eine mutmaßlich nordkoreanische Advanced Persistent Threat (APT)-Gruppe, deren Aktivitäten mit den Interessen der nordkoreanischen Regierung übereinstimmen. Sie ist für ihre weltweiten Angriffe auf Organisationen und Einzelpersonen bekannt. Die Gruppe, die seit mindestens 2012 aktiv ist, setzt häufig gezielte Phishing- und Social-Engineering-Taktiken ein, um Informationen zu sammeln und an sensible Daten zu gelangen.

Eine interessante Beobachtung ist laut SentinelLabs, dass die Bedrohungsakteure sich darauf konzentrieren, einen Erstkontakt herzustellen und eine Beziehung zu ihren Zielen aufzubauen, bevor sie die Opfer kompromittieren. Als Teil ihrer Strategie für den Erstkontakt gab sich die Gruppe als Chad O’Carroll aus, dem Gründer von NK News und der zugehörigen Holdinggesellschaft Korea Risk Group, und verwendete eine von den Angreifern erstellte Domain, „nknews[.]pro“, die der tatsächlichen NK News-Domain „nknews.org“ sehr ähnlich ist. In der initialen Schein-Mail wird um die Überprüfung eines Artikelentwurfs gebeten, in dem die von Nordkorea ausgehende nukleare Bedrohung analysiert wird.

Nordkorea-News-Website im Visier

Lässt sich die Zielperson auf die Konversation ein, wird die Gelegenheit genutzt, um eine gefälschte URL zu einem Google-Dokument zu übermitteln, das zu einer bösartigen Website weiterleitet. Diese wurde speziell dafür entwickelt, Google-Anmeldedaten zu erfassen. Auch Office-Dokumente, die die ReconShark-Aufklärungs-Malware ausführen, können verwendet werden. Darüber hinaus wird auch versucht Anmeldeinformationen von NK News zu stehlen. Um dies zu erreichen, verschickt die Gruppe E-Mails, die die Zielpersonen dazu verleiten, sich auf der bösartigen Website „nknews[.]pro“ anzumelden, die sich als die authentische NK News-Website ausgibt.

Die Hacker zielen aktiv auf hochkarätige Experten für nordkoreanische Angelegenheiten ab, um Anmeldedaten von prominenten Nachrichten- und Analysediensten mit Nordkorea-Bezug zu stehlen. SentinelLabs zufolge zeigt Kimsuky damit ein gesteigertes Interesse daran, wie die internationale Gemeinschaft die Entwicklungen in Bezug auf Nordkorea wahrnimmt, beispielsweise die militärischen Aktivitäten des Landes.