Warnung: Kimsuky Hacking Group zielt auf Menschenrechtsaktivisten
Wie aus jüngsten Berichten ein neuer Social-Engineering-Angriff, der der mit Nordkorea in Verbindung stehenden Kimsuky-Hackergruppe mit gefälschten Facebook-Konten auf Menschenrechtsaktivisten abzielt. Diese Taktik, bei der fiktive Identitäten verwendet werden, stellt eine deutliche Abkehr von ihren typischen Spearphishing-Strategien per E-Mail dar. Einem Bericht des südkoreanischen Cybersicherheitsunternehmens Genians zufolge geben sich die Angreifer als Beamte des nordkoreanischen Menschenrechtssektors aus, um ihre Ziele über den Facebook Messenger zu täuschen.
Ein ausgeklügelter mehrstufiger Angriff
Die Kimsuky Hacking Gruppe zielt speziell auf nordkoreanischen Menschenrechtsaktivismus und Anti-Nordkorea-Aktivitäten. Im Gegensatz zu herkömmlichen Methoden nutzt sie die sozialen Medien, um Vertrauen aufzubauen und die Kimsuky-Malware. Die Angreifer erstellen gefälschte Facebook-Profile, die sich als legitime Personen ausgeben, um den Kontakt herzustellen und die Zielpersonen zum Öffnen bösartiger Dokumente zu verleiten.
Soziale Medien für Täuschungszwecke ausnutzen
Die Neuartigkeit des Angriffs besteht darin, dass die Nutzlast nicht per E-Mail, sondern über den Facebook Messenger übermittelt wird. Die nordkoreanischen Hacker senden Nachrichten mit Links zu scheinbar harmlosen Dokumenten, die auf OneDrive gehostet werden. Diese Dokumente mit den Namen "My_Essay(prof).msc" oder "NZZ_Interview_Kohei Yamamoto.msc" scheinen Aufsätze oder Interviewinhalte im Zusammenhang mit einem trilateralen Gipfel zwischen Japan, Südkorea und den USA zu sein. Ein solches Dokument wurde am 5. April 2024 von Japan aus auf die VirusTotal-Plattform hochgeladen, was darauf hindeutet, dass der Schwerpunkt auf Zielen in Japan und Südkorea liegt.
Ungewöhnliche Dokumenttypen, um die Entdeckung zu umgehen
Kimsukys Verwendung von MSC-Dateien, einem weniger verbreiteten Dokumententyp, hilft der Gruppe, sich der Entdeckung zu entziehen. Diese Dateien sind mit Word-Prozessor-Symbolen getarnt, um die Opfer zum Öffnen der Dateien zu verleiten. Wenn ein Opfer die MSC-Datei startet und zustimmt, sie mit der Microsoft Management Console (MMC) zu öffnen, sieht es einen Konsolenbildschirm, der ein Word-Dokument anzeigt. Dieses Dokument aktiviert eine Sequenz, die eine Verbindung mit einem vom Angreifer kontrollierten Server, brandwizer.co[.]in, herstellt.
Die Angriffssequenz der Kimsuky Hacking Group
Berichte wird behauptet, dass das Opfer beim Öffnen des Dokuments unwissentlich einen Befehl ausführt, der eine Verbindung zum Server des Gegners herstellt. Dieser Server zeigt ein weiteres Dokument an, das auf Google Drive gehostet wird und den Titel "Essay on Resolution of Korean Forced Labor Claims.docx" trägt. Währenddessen werden im Hintergrund weitere Befehle ausgeführt, um die Persistenz sicherzustellen und Informationen wie Akku- und Prozessdaten vom Gerät des Opfers zu sammeln.
Die gesammelten Informationen werden dann an den Command-and-Control-Server (C2) gesendet. Dieser Server kann auch IP-Adressen, User-Agent-Zeichenfolgen und Zeitstempelinformationen von HTTP-Anfragen sammeln und bei Bedarf weitere bösartige Nutzdaten übermitteln. Die Taktiken, Techniken und Verfahren (TTPs), die bei dieser Spionagekampagne überschneiden sich mit früheren Kimsuky-Aktivitäten, einschließlich der Verbreitung von Malware wie ReconShark, wie von SentinelOne im Mai 2023 ausführlich beschrieben.
Die zunehmende Bedrohung durch gezielte Cyberangriffe über soziale Medien
Genians betont, dass im ersten Quartal dieses Jahres, Social Engineering (Spear Phishing) die häufigste Methode von Advanced Persistent Threat (APT) Angriffe in Südkorea gemeldet wurden. Aber auch verdeckte Angriffe über soziale Medien, über die zwar weniger häufig berichtet wird, sind auf dem Vormarsch. Diese personalisierten Angriffe sind mit herkömmlichen Sicherheitsüberwachungsinstrumenten nur schwer zu erkennen und werden oft nicht gemeldet, selbst wenn die Opfer davon Kenntnis haben.
Aufgrund ihres personalisierten Charakters sind diese auf sozialen Medien basierenden gezielte Angriffe eine große Herausforderung für die Cybersicherheit dar. Die frühzeitige Erkennung solcher Bedrohungen ist entscheidend, um ihre Auswirkungen zu mindern. Da die Angreifer ihre Methoden immer weiter verfeinern, müssen Unternehmen und Einzelpersonen wachsam bleiben und sich robuste Sicherheitsmaßnahmen um sich vor diesen sich weiterentwickelnden Bedrohungen zu schützen.
Schlussfolgerung
Die jüngste Kampagne der Hackergruppe Kimsuky unterstreicht die zunehmende Raffinesse der Cyber-Angriffstaktiken. Durch die Nutzung von Social-Media-Plattformen wie Facebook können diese Angreifer ihre Ziele auf persönlichere und trügerischere Weise erreichen und so Netzwerksicherheitsverletzungen. Sensibilisierung und Früherkennung sind der Schlüssel zur Abwehr solcher Bedrohungen und zur Gewährleistung der Sicherheit von Einzelpersonen und Organisationen, die in sensiblen Bereichen arbeiten.
Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und Sicherheitsangelegenheiten.