Compania de securitate cibernetică Hauri a dezvăluit o creștere semnificativă a numărului de incidente de tip spear-phishing comise de organizația de hacking nord-coreeană Kimsuky în ultimele luni. Termenul de spear-phishing se referă la atacuri cibernetice direcționate asupra unor persoane sau grupuri specifice.
Campanii intensive de spear-phishing: impersonare, metode de atac și răspunsuri
În perioada ianuarie-octombrie 2023, au fost impersonate 24 de conturi și au fost utilizate 16 servere de e-mail pentru atacuri de spear-phishing. Aceste e-mailuri au fost trimise către personalul a peste 400 de instituții majore la nivel național și internațional.
Printre aceste instituții se numără Asociația Directorilor Financiari din Coreea, Universitatea Georgetown, Asociația Internațională pentru Pace, Ministerul Afacerilor Externe al Republicii Coreea, Ministerul Afacerilor Externe al Japoniei, Biroul Prezidențial și Comitetul SUA-Coreea de Nord. Profesori, jurnaliști și oficiali de rang înalt în politică, diplomație, apărare și expertiză în probleme legate de Coreea de Nord au fost impersonați pentru a trimite continuu e-mailuri de spear-phishing discrete și naturale.
În loc să anexeze direct coduri malițioase, e-mailurile au fost trimise sub formă de urări de Anul Nou, urări de Crăciun, solicitări de întâlnire, cereri de consultare, solicitări de opinii de la experți, etc. Un cod malițios era distribuit atunci când destinatarul manifesta interes și răspundea la e-mail.
Codurile erau distribuite ulterior sub forma de fișiere de document (.doc, .docx), descărcări folosind servicii de stocare în cloud (Google, MS, etc.), fișiere compactate Windows (.iso), fișiere de script malițios (.vbs), fișiere HTML, etc.
După verificarea înregistrărilor de expediere și primire a conturilor compromise, compania Hauri a constatat că rata medie de răspuns a fost de aproximativ 25%. Rata de răspuns reprezintă procentul de destinatari care au primit e-mailul spear-phishing și au răspuns expeditorului fără suspiciune.
Kimsuky: APT cu orientare regională și activitate persistentă
Aceste amenințări sunt atribuite unui grup de amenințare persistentă avansată (APT) cunoscut sub numele de Kimsuky.
Kimsuky, activ de peste un deceniu, este cunoscut pentru orientarea sa către o gamă largă de entități din Coreea de Sud, înainte de a-și extinde focusul pentru a include și alte regiuni, începând cu anul 2017. A fost sancționat de guvernul SUA la sfârșitul lunii trecute pentru acumularea de informații în sprijinul obiectivelor strategice ale Coreei de Nord.
Activitățile de spionaj ale acestui grup de amenințare sunt derulate prin intermediul atacurilor de spear-phishing, care includ documente cu conținut malițios. Aceste documente, atunci când sunt deschise, conduc la implementarea diverselor tipuri de malware.
De la AppleSeed la AlphaSeed și implicațiile utilizării altor malware-uri în atacurile cibernetice
Unul dintre backdoor-urile notabile ale Windows folosite de Kimsuky este AppleSeed (cunoscut și sub numele de JamBog), un malware DLL care a fost utilizat încă din mai 2019 și a fost actualizat cu o versiune pentru Android, precum și cu o nouă variantă scrisă în limbajul de programare Golang, numită AlphaSeed.
Un aspect remarcabil al atacurilor care utilizează AppleSeed este că metodele similare de atac au fost folosite de mulți ani fără schimbări semnificative la malware-urile care sunt utilizate.
AppleSeed este proiectat pentru a primi instrucțiuni de la un server controlat de către actori, pentru a descărca încărcături suplimentare și pentru a extrage date sensibile precum fișiere, taste apăsate și capturi de ecran. AlphaSeed, la fel ca AppleSeed, încorporează funcționalități similare, dar prezintă și unele aspect diferențiale.
Malware-uri implementate precum Meterpreter și VNC, cum ar fi TightVNC și TinyNuke (cunoscut și sub numele de Nuclear Bot), pot fi utilizate pentru a prelua controlul asupra sistemului afectat.
Infiltrarea prin profiluri false
Aceste dezvăluiri survin în urma identificării unui număr de conturi pe platformele LinkedIn și GitHub, presupuse a fi utilizate de lucrători IT din Coreea de Nord în încercarea lor frauduloasă de a obține angajări la distanță de la companii americane.
Indivizii implicați frecvent susțineau că au abilități în dezvoltarea diverselor tipuri de aplicații și că au experiență în gestionarea tranzacțiilor crypto și blockchain. Aceste afirmații au fost făcute în cadrul unor profiluri online, iar accentul lor era pus pe obținerea unui loc de muncă în sectorul tehnologic, în special în regim de lucru la distanță. Multe dintre aceste conturi online erau active pentru o perioadă scurtă de timp înainte de a fi dezactivate.
În ultimii ani, actorii cibernetici din Coreea de Nord au lansat o serie de atacuri complexe, combinând tactici inovatoare și exploatarea vulnerabilităților lanțului de aprovizionare pentru a viza companii din domeniul blockchain și criptomonede. Aceste atacuri au avut ca rezultat furtul de proprietate intelectuală și active virtuale. Prolificitatea și agresivitatea acestor atacuri evidențiază diversitatea metodelor pe care țara le utilizează pentru a evita sancțiunile internaționale și pentru a obține ilegal profit din aceste tactici.
Acest amplu context dezvăluie amenințările la adresa securității cibernetice implicate în acțiunile grupurilor de hackeri asociate Coreei de Nord. Kimsuky, ca grup de amenințare persistentă avansată, a demonstrat o adaptabilitate remarcabilă în utilizarea diverselor tactici, inclusiv spear-phishing și backdoor-uri precum AppleSeed și AlphaSeed. Prin investiții în soluții de securitate robuste, actualizări constante ale protocoalelor de securitate și o atenție sporită asupra proceselor de recrutare, companiile pot consolida apărarea împotriva amenințărilor cibernetice, asigurând astfel integritatea și confidențialitatea datelor