In seiner neuesten Untersuchung hat SentinelOne eine gezielte Kampagne gegen Informationsdienste sowie Organisationen, die Menschenrechtsaktivisten und Überläufer in Nordkorea unterstützen, beleuchtet. Die Kampagne konzentriert sich auf das Ausspähen von Dateien und das Exfiltrieren von System- und Hardware-Informationen, um die Grundlage für spätere Angriffe zu schaffen.
Auf der Grundlage der verwendeten Infrastruktur, der Malware-Verbreitungsmethoden und der Implementierung gehen die Sicherheitsexperten mit hoher Wahrscheinlichkeit davon aus, dass die Kampagne von dem Bedrohungsakteur Kimsuky durchgeführt wurde. Es handelt sich dabei um eine mutmaßlich nordkoreanische APT-Gruppe, die dafür bekannt ist, weltweit Organisationen und Einzelpersonen anzugreifen.
Die Gruppe ist seit mindestens 2012 aktiv und führt regelmäßig gezielte Phishing- und Social-Engineering-Kampagnen durch, um Informationen zu sammeln und sich unbefugt Zugang zu sensiblen Informationen zu verschaffen, die den Interessen der nordkoreanischen Regierung entsprechen.
In letzter Zeit hat Kimsuky immer wieder maßgeschneiderte Malware als Teil von Aufklärungskampagnen verteilt, um nachfolgende Angriffe zu ermöglichen. So hat SentinelLabs vor kurzem aufgedeckt, dass die Gruppe ReconShark über makroaktivierte Office-Dokumente verteilt hat. Die aktuellen Entwicklungen deuten auf eine Verlagerung zu einer Variante der RandomQuery-Malware hin, deren einziges Ziel die Exfiltration von Informationen ist.
Technischer Hintergrund
RandomQuery ist eine feste Größe im Arsenal von Kimsuky und kommt in verschiedenen Varianten vor. Die kürzlich entdeckte Kampagne verwendet eine reine VBScript-Implementierung. Die Fähigkeit der Malware, wertvolle Informationen wie Hardware-, Betriebssystem- und Dateidetails zu exfiltrieren, weist auf ihre zentrale Rolle bei den Aufklärungsoperationen hin, die maßgeschneiderte Angriffe erst ermöglichen.
Die in koreanischer Sprache verfassten Phishing-E-Mails fordern beispielsweise Empfänger auf, ein angehängtes Dokument zu lesen, das angeblich von Lee Kwang-baek, dem CEO von Daily NK, verfasst wurde. Daily NK ist ein bekannter südkoreanischer Online-Nachrichtendienst, der unabhängig über Nordkorea berichtet und somit ein ideales Ziel für die Bedrohungsakteure darstellt, die sich als legitim ausgeben wollen.
Bei dem angehängten Dokument handelt es sich um eine CHM-Datei, die in einem passwortgeschützten Archiv gespeichert ist. Das Dokument trägt den Titel „Schwierigkeiten bei den Aktivitäten nordkoreanischer Menschenrechtsorganisationen und Maßnahmen zu ihrer Belebung" und enthält einen Katalog von Problemen, die Menschenrechtsorganisationen betreffen.
Die Bedrohungsakteure haben bei ihrer Domainregistrierung ausgiebig Gebrauch von weniger verbreiteten Top-Level-Domains gemacht. Vorhergegangene Berichte von SentinelLabs über die ReconShark-Aktivitäten von Kimsuky haben mehrere Cluster bösartiger Domains beleuchtet, die sich derselben Technik bedienten.
Für die jüngste Kampagne wurde der in Japan ansässige Domain-Registrierungsdienst Onamae, für den primären Kauf bösartiger Domains, genutzt. Die auffällige Häufung von Aktivitäten startete am 5. Mai 2023 und dauert noch an.
Fazit
Die Vorfälle unterstreichen die sich ständig verändernde Landschaft der nordkoreanischen Bedrohungsgruppen, deren Aufgabenbereich nicht nur politische Spionage, sondern auch Sabotage und finanzielle Bedrohungen umfasst. Unternehmen müssen sich unbedingt mit den TTPs vertraut machen, die von mutmaßlich staatlich gesponserten APTs eingesetzt werden, und geeignete Maßnahmen zum Schutz vor solchen Angriffen ergreifen.
Der Zusammenhang zwischen den jüngsten böswilligen Aktivitäten und einem breiteren Spektrum von bisher nicht bekannt gewordenen Operationen, die Nordkorea zugeschrieben werden, unterstreicht, wie wichtig es ist, ständig wachsam zu sein und die Zusammenarbeit zu fördern.