ClickCease Warnung: Kimsuky Hacking Group zielt auf Menschenrechtsaktivisten

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Warnung: Kimsuky Hacking Group zielt auf Menschenrechtsaktivisten

von Wajahat Raja

31. Mai 2024. TuxCare-Expertenteam

Wie aus jüngsten Berichten ein neuer Social-Engineering-Angriff, der der mit Nordkorea in Verbindung stehenden Kimsuky-Hackergruppe mit gefälschten Facebook-Konten auf Menschenrechtsaktivisten abzielt. Diese Taktik, bei der fiktive Identitäten verwendet werden, stellt eine deutliche Abkehr von ihren typischen Spearphishing-Strategien per E-Mail dar. Einem Bericht des südkoreanischen Cybersicherheitsunternehmens Genians zufolge geben sich die Angreifer als Beamte des nordkoreanischen Menschenrechtssektors aus, um ihre Ziele über den Facebook Messenger zu täuschen.

 

Ein ausgeklügelter mehrstufiger Angriff


Die
Kimsuky Hacking Gruppe zielt speziell auf nordkoreanischen Menschenrechtsaktivismus und Anti-Nordkorea-Aktivitäten. Im Gegensatz zu herkömmlichen Methoden nutzt sie die sozialen Medien, um Vertrauen aufzubauen und die Kimsuky-Malware. Die Angreifer erstellen gefälschte Facebook-Profile, die sich als legitime Personen ausgeben, um den Kontakt herzustellen und die Zielpersonen zum Öffnen bösartiger Dokumente zu verleiten.


Soziale Medien für Täuschungszwecke ausnutzen


Die Neuartigkeit des Angriffs besteht darin, dass die Nutzlast nicht per E-Mail, sondern über den Facebook Messenger übermittelt wird. Die
nordkoreanischen Hacker senden Nachrichten mit Links zu scheinbar harmlosen Dokumenten, die auf OneDrive gehostet werden. Diese Dokumente mit den Namen "My_Essay(prof).msc" oder "NZZ_Interview_Kohei Yamamoto.msc" scheinen Aufsätze oder Interviewinhalte im Zusammenhang mit einem trilateralen Gipfel zwischen Japan, Südkorea und den USA zu sein. Ein solches Dokument wurde am 5. April 2024 von Japan aus auf die VirusTotal-Plattform hochgeladen, was darauf hindeutet, dass der Schwerpunkt auf Zielen in Japan und Südkorea liegt.


Ungewöhnliche Dokumenttypen, um die Entdeckung zu umgehen


Kimsukys Verwendung von MSC-Dateien, einem weniger verbreiteten Dokumententyp, hilft der Gruppe, sich der Entdeckung zu entziehen. Diese Dateien sind mit Word-Prozessor-Symbolen getarnt, um die Opfer zum Öffnen der Dateien zu verleiten. Wenn ein Opfer die MSC-Datei startet und zustimmt, sie mit der Microsoft Management Console (MMC) zu öffnen, sieht es einen Konsolenbildschirm, der ein Word-Dokument anzeigt. Dieses Dokument aktiviert eine Sequenz, die eine Verbindung mit einem vom Angreifer kontrollierten Server, brandwizer.co[.]in, herstellt.

 

Die Angriffssequenz der Kimsuky Hacking Group

Berichte wird behauptet, dass das Opfer beim Öffnen des Dokuments unwissentlich einen Befehl ausführt, der eine Verbindung zum Server des Gegners herstellt. Dieser Server zeigt ein weiteres Dokument an, das auf Google Drive gehostet wird und den Titel "Essay on Resolution of Korean Forced Labor Claims.docx" trägt. Währenddessen werden im Hintergrund weitere Befehle ausgeführt, um die Persistenz sicherzustellen und Informationen wie Akku- und Prozessdaten vom Gerät des Opfers zu sammeln.

Die gesammelten Informationen werden dann an den Command-and-Control-Server (C2) gesendet. Dieser Server kann auch IP-Adressen, User-Agent-Zeichenfolgen und Zeitstempelinformationen von HTTP-Anfragen sammeln und bei Bedarf weitere bösartige Nutzdaten übermitteln. Die Taktiken, Techniken und Verfahren (TTPs), die bei dieser Spionagekampagne überschneiden sich mit früheren Kimsuky-Aktivitäten, einschließlich der Verbreitung von Malware wie ReconShark, wie von SentinelOne im Mai 2023 ausführlich beschrieben.


Die zunehmende Bedrohung durch gezielte Cyberangriffe über soziale Medien


Genians betont, dass im ersten Quartal dieses Jahres,
Social Engineering (Spear Phishing) die häufigste Methode von Advanced Persistent Threat (APT) Angriffe in Südkorea gemeldet wurden. Aber auch verdeckte Angriffe über soziale Medien, über die zwar weniger häufig berichtet wird, sind auf dem Vormarsch. Diese personalisierten Angriffe sind mit herkömmlichen Sicherheitsüberwachungsinstrumenten nur schwer zu erkennen und werden oft nicht gemeldet, selbst wenn die Opfer davon Kenntnis haben.

Aufgrund ihres personalisierten Charakters sind diese auf sozialen Medien basierenden gezielte Angriffe eine große Herausforderung für die Cybersicherheit dar. Die frühzeitige Erkennung solcher Bedrohungen ist entscheidend, um ihre Auswirkungen zu mindern. Da die Angreifer ihre Methoden immer weiter verfeinern, müssen Unternehmen und Einzelpersonen wachsam bleiben und sich robuste Sicherheitsmaßnahmen um sich vor diesen sich weiterentwickelnden Bedrohungen zu schützen.


Schlussfolgerung


Die jüngste Kampagne der Hackergruppe Kimsuky unterstreicht die zunehmende Raffinesse der
Cyber-Angriffstaktiken. Durch die Nutzung von Social-Media-Plattformen wie Facebook können diese Angreifer ihre Ziele auf persönlichere und trügerischere Weise erreichen und so Netzwerksicherheitsverletzungen. Sensibilisierung und Früherkennung sind der Schlüssel zur Abwehr solcher Bedrohungen und zur Gewährleistung der Sicherheit von Einzelpersonen und Organisationen, die in sensiblen Bereichen arbeiten.

Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und Sicherheitsangelegenheiten.

Zusammenfassung
Warnung: Kimsuky Hacking Group zielt auf Menschenrechtsaktivisten
Artikel Name
Warnung: Kimsuky Hacking Group zielt auf Menschenrechtsaktivisten
Beschreibung
Entdecken Sie, wie die Kimsuky Hacking Group Social Engineering auf Facebook einsetzt, um Menschenrechtsaktivisten mit Malware anzugreifen.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Werden Sie ein TuxCare-Gastautor

E-Mail

Helfen Sie uns,
die Linux-Landschaft zu verstehen!

Füllen Sie unsere Umfrage zum Stand von Open Source aus und gewinnen Sie einen von mehreren Preisen, wobei der Hauptpreis mit 500 $ dotiert ist!

Ihr Fachwissen ist gefragt, um die Zukunft von Enterprise Linux zu gestalten!