Kuzey Koreli bilgisayar korsanları, akademisyenlerden ve düşünce kuruluşlarından istihbarat toplamak için gazetecileri taklit etti

Güvenlik araştırmacıları, Kuzey Kore hükümeti destekli bilgisayar korsanlarının, ülkenin karar verme sürecine rehberlik etmeye yardımcı olacak stratejik istihbarat toplamak için gazetecileri taklit ettikleri konusunda uyardı.

SentinelLabs araştırmacıları Salı günü dedi Kuzey Kore meselelerindeki uzmanları hedef alan bir sosyal mühendislik kampanyasını, Kimsuky olarak bilinen bir Kuzey Kore gelişmiş kalıcı tehdit (APT) grubuyla ilişkilendirdiklerini söylediler. APT43, Thallium ve Black Banshee olarak da bilinen grup, en az 2012’den beri faaliyet gösteriyor ve kullandığı biliniyor. sosyal mühendislik ve hedeflenen kimlik avı e-postaları ve Kuzey Kore rejimi adına hassas bilgiler toplamak için.

Kimsuky’nin en son sosyal mühendislik kampanyası şu aboneleri hedef aldı: NK HaberleriKuzey Kore hakkında hikayeler ve analizler sağlayan abonelik tabanlı bir Amerikan web sitesi.

SentinelLabs, Kimsuky’nin NK News abonelerine sahte bir Google Dokümanlar web bağlantısı sağlamak için NK News’in kurucusu Chad O’Carroll’un kimliğine büründüğünü gözlemledi. Bazı durumlarda, Kimsuky bilgisayar korsanları, ReconShark kötü amaçlı yazılımını çalıştıran, silah haline getirilmiş bir Microsoft Office belgesi de teslim ettiler. bilgi sızdırma bir cihazda hangi algılama mekanizmalarının kullanıldığı ve cihazın kendisi hakkında bilgiler gibi.

SentinelLabs tarafından gözlemlenen başka bir saldırıda Kimsuky, abonelerden sahte bir NK News abonelik hizmetine giriş yapmalarını isteyen bir e-posta dağıttı. Kıdemli bir tehdit olan Aleksandar Milenkosi, kullanıcıların NK News kimlik bilgilerine erişim elde etmenin, Kuzey Koreli bilgisayar korsanlarına “uluslararası toplumun Kuzey Kore ile ilgili gelişmeleri nasıl değerlendirip yorumladığına dair değerli bilgiler sağlayacağını ve daha geniş stratejik istihbarat toplama girişimlerine katkıda bulunacağını” yazdı. SentinelLabs’te araştırmacı.

Kimsuky’nin ayrıca hedefleriyle kötü niyetli faaliyetlerini başlatmadan önce bir yakınlık geliştirmek için kötü amaçlı yazılım içermeyen meşru Google Dokümanlar bağlantıları ve Word belgeleri gönderdiği gözlemlendi.

SentinelLabs’ın analizi, ABD ve Güney Kore hükümetlerinin yayınladığı bir rapordan günler sonra geldi. danışma Kimsuky’nin değerli jeopolitik içgörüleri ve diğer çalınan verileri Kuzey Kore rejimine yönlendirmek için hedefli spearphishing saldırıları düzenlediğine dair uyarı.

Ortak danışma belgesi, Kimsuky grubunun Kuzey Kore meselelerinde çalışan kişileri hedef almak için gazetecileri, akademisyenleri, düşünce kuruluşu araştırmacılarını ve hükümet yetkililerini taklit ettiği konusunda uyardı.

“Bu siber aktörler, jeopolitik olaylar, dış politika stratejileri ve bizi ilgilendiren güvenlik gelişmeleri hakkında istihbarat toplamak için stratejik olarak meşru kaynakları taklit ediyorlar. [North Korea] Kore Yarımadası’nda,” dedi NSA siber güvenlik direktörü Rob Joyce. “Eğitim ve farkındalık, bu toplum mühendisliği saldırılarına karşı ilk savunma hattıdır.”

O sırada Güney Kore Dışişleri Bakanlığı (MOFA) da uygulanan yaptırımlar Kuzey Koreli bilgisayar korsanlığı grubu hakkında ve tespit edildi iki kripto para adresi Kimsuky tarafından kullanılır. hükümet ayrıca sanık grubun geçen hafta başarısız bir casus uydu fırlatmasına karışması.