Des cyberattaquants s'en prennent à des experts en Corée du Nord
Selon SentinelLabs, une organisation APT nord-coréenne connue sous le nom de Kimsuky mène une opération d'ingénierie sociale contre des spécialistes des questions nord-coréennes.
L'attaque a commencé par un courriel provenant d'un faux compte d'actualités nord-coréennes. Le courriel demande au destinataire d'étudier un projet d'article concernant le danger nucléaire de la Corée du Nord. Si le destinataire clique sur le lien contenu dans le courriel, il est envoyé sur une fausse page Google Docs qui lui demande ses informations de connexion. Après avoir saisi les informations d'identification, il les transmet à Kimsuky. Kismuky vole alors les informations d'identification importantes de Google et des abonnés du service de presse.
Kimsuky peut ensuite utiliser les informations d'identification pour accéder à la messagerie électronique, aux médias sociaux et à d'autres comptes Internet de la victime. Il peut également utiliser ces informations d'identification pour mener d'autres attaques, telles que des campagnes de phishing ou des opérations de ransomware. La principale approche marketing de Kimsuky imite Chad O'Carroll, le fondateur de NK News et de la holding Korea Risk Group. Ils ont mis en place un domaine contrôlé par les attaquants, nknews[.]pro, qui ressemble beaucoup au domaine officiel de NK News, nknews.org.
Selon les chercheurs, Kimsuky utilise des courriels de spear-phishing au format HTML pour commencer à interagir avec les victimes. Ces courriels, qui usurpent l'identité des dirigeants de NK News, ne contiennent aucun élément nuisible et sont destinés à encourager une participation supplémentaire sans éveiller les soupçons.
Une fois que la cible a participé au dialogue, le groupe APT envoie un courriel contenant un lien vers un document Google. Si le destinataire ne répond pas, les acteurs de la menace envoient un courriel de rappel pour l'obliger à répondre. Les attaquants modifient l'URL en changeant l'élément HTML href pour aller vers un site web qu'ils contrôlent.
Les sources de cet article comprennent un article de SecurityAffairs.