SentinelLabs hat in Zusammenarbeit mit NK News eine gezielte Social-Engineering-Kampagne gegen Experten für nordkoreanische Angelegenheiten aus dem Nichtregierungssektor unter die Lupe genommen. Der Schwerpunkt der Kampagne liegt auf dem Diebstahl von E-Mail-Anmeldedaten, der Verbreitung von Aufklärungs-Malware und dem Diebstahl von Anmeldedaten für NK News.
Aufgrund der verwendeten Malware, Infrastruktur und Taktik ist mit hoher Wahrscheinlichkeit davon auszugehen, dass der Bedrohungsakteur Kimsuky dafür verantwortlich ist. Die Social-Engineering-Taktiken und einige Infrastrukturmerkmale stehen in engem Zusammenhang mit Aktivitäten, über die PwC privat berichtete und die in einem NSA-Bericht erörtert wurden.
Technischer Hintergrund
Kimsuky, eine mutmaßlich nordkoreanische Advanced Persistent Threat (APT)-Gruppe, deren Aktivitäten mit den Interessen der nordkoreanischen Regierung übereinstimmen, ist für ihre weltweiten Angriffe auf Organisationen und Einzelpersonen bekannt. Die Gruppe, die seit mindestens 2012 aktiv ist, setzt häufig gezielte Phishing- und Social-Engineering-Taktiken ein, um Informationen zu sammeln und an sensible Daten zu gelangen.
Eine interessante Beobachtung ist, dass die Bedrohungsakteure sich darauf konzentrieren, einen Erstkontakt herzustellen und eine Beziehung zu ihren Zielen aufzubauen, bevor sie die Opfer kompromittieren. Als Teil ihrer Strategie für den Erstkontakt gab sich die Gruppe als Chad O'Carroll aus, dem Gründer von NK News und der zugehörigen Holdinggesellschaft Korea Risk Group.
Sie verwendete eine von den Angreifern erstellte Domain, „nknews[.]pro“, die der legitimen NK News-Domain „nknews.org“ sehr ähnlich ist. In der initialen Schein-Mail wird um die Überprüfung eines Artikelentwurfs gebeten, in dem die von Nordkorea ausgehende nukleare Bedrohung analysiert wird.
Lässt sich die Zielperson auf die Konversation ein, wird die Gelegenheit genutzt, um eine gefälschte URL zu einem Google-Dokument zu übermitteln, das zu einer bösartigen Website weiterleitet, die speziell dafür entwickelt wurde, Google-Anmeldedaten zu erfassen. Auch Office-Dokumente, die die ReconShark-Aufklärungs-Malware ausführen, können verwendet werden.
Darüber hinaus wird auch versucht Anmeldeinformationen von NK News zu stehlen. Um dies zu erreichen, verschickt die Gruppe E-Mails, die die Zielpersonen dazu verleiten, sich auf der bösartigen Website „nknews[.]pro“ anzumelden, die sich als die authentische NK News-Website ausgibt.
Diese Aktivitäten zeigen, dass die Gruppe zunehmend versucht, eine frühzeitige Kommunikation mit ihren Zielpersonen aufzubauen und Vertrauen zu schaffen, bevor sie böswillige Operationen, einschließlich der Verbreitung von Malware, in die Wege leitet. Diese Vorgehensweise zeigt das Bestreben der Gruppe ein Gefühl der Verbundenheit mit den Zielpersonen aufzubauen, was die Erfolgsquote ihrer nachfolgenden Angriffstechniken erhöht.
Indem sie aktiv auf hochkarätige Experten für nordkoreanische Angelegenheiten abzielen und Anmeldedaten von prominenten Nachrichten- und Analysediensten, die sich mit Nordkorea befassen, stehlen, zeigt Kimsuky ein gesteigertes Interesse daran, wie die internationale Gemeinschaft die Entwicklungen in Bezug auf Nordkorea wahrnimmt, beispielsweise die militärischen Aktivitäten des Landes. Diese Handlungen sind wahrscheinlich Teil ihres umfassenderen Ziels, strategische Informationen zu sammeln und so zu Nordkoreas Entscheidungsprozessen beizutragen.
Fazit
SentinelLabs beobachtet weiterhin sehr genau die Aktivitäten der Bedrohungsakteure. Die bisherigen Erkenntnisse verdeutlichen das anhaltende Bedrohungspotenzial durch Social-Engineering-Angriffe und unterstreichen die Notwendigkeit, das Bewusstsein zu stärken und das Verständnis für die Taktiken zu erhöhen.
Wachsamkeit und die Implementierung effektiver Sicherheitsmaßnahmen sind unerlässlich, um die von diesem raffinierten Bedrohungsakteur ausgehenden Risiken zu minimieren.