Cyberangreifer zielen auf Experten in Nordkorea
Laut SentinelLabs führt eine nordkoreanische APT-Organisation mit dem Namen Kimsuky eine Social-Engineering-Aktion gegen Spezialisten für nordkoreanische Angelegenheiten durch.
Der Angriff begann mit einer E-Mail von einem gefälschten Konto von North Korean News. In der E-Mail wird der Empfänger aufgefordert, einen Textentwurf über Nordkoreas nukleare Gefahr zu lesen. Wenn der Empfänger auf den Link in der E-Mail klickt, wird er auf eine gefälschte Google Docs-Seite weitergeleitet, die seine Anmeldedaten abfragt. Nach Eingabe der Anmeldedaten werden diese an Kimsuky übermittelt. Kimsuky stiehlt dann die wichtigen Google- und Abonnenten-Anmeldedaten des Nachrichtendienstes.
Kimsuky kann dann die Anmeldedaten verwenden, um Zugang zu den E-Mail-, Social-Media- und anderen Internetkonten des Opfers zu erhalten. Sie können die Zugangsdaten auch für andere Angriffe wie Phishing-Kampagnen oder Ransomware-Operationen verwenden. Der wichtigste Marketingansatz von Kimsuky ähnelt dem von Chad O'Carroll, dem Gründer von NK News und der damit verbundenen Holdinggesellschaft Korea Risk Group. Sie richteten eine von Angreifern kontrollierte Domain, nknews[.]pro, ein, die der offiziellen NK News-Domain, nknews.org, sehr ähnlich sieht.
Den Forschern zufolge verwendet Kimsuky HTML-formatierte Spear-Phishing-E-Mails, um mit den Opfern in Kontakt zu treten. Diese E-Mails, die sich als Führungskräfte von NK News ausgeben, enthalten keine schädlichen Komponenten und sollen zur weiteren Teilnahme ermutigen, ohne Verdacht zu erregen.
Sobald die Zielperson an dem Dialog teilgenommen hat, sendet die APT-Gruppe eine E-Mail mit einem Link zu einem Google-Dokument. Wenn der Empfänger nicht antwortet, senden die Bedrohungsakteure eine Erinnerungs-E-Mail, um eine Antwort zu erzwingen. Die Angreifer ändern die URL, indem sie das HTML-Element href so ändern, dass sie auf eine von ihnen kontrollierte Website verweist.
Zu den Quellen für diesen Beitrag gehört ein Artikel in SecurityAffairs.