Północnokoreańscy cyberprzestępcy kontra Messenger
W najnowszym raporcie południowokoreańskiej firmy zajmującej się cyberbezpieczeństwem Genians opisano szczegóły operacji cyberprzestępców z grupy Kimsuky. Cyberprzestępcy tworzą fałszywe konta na Facebooku, udając urzędników pracujących w dziedzinie praw człowieka w Korei Północnej.
Następnie za pomocą komunikatora Facebook Messenger nawiązują kontakt z wybranymi celami, starając się wzbudzić ich zaufanie.
Kampania cyberprzestępców skierowana jest głównie na aktywistów z sektora praw człowieka oraz osoby działające przeciwko reżimowi północnokoreańskiemu.
Zamiast tradycyjnych metod phishingu opartych na mailach, cyberprzestępcy wykorzystują media społecznościowe. Poprzez Messenger, zachęcają swoje ofiary do otwarcia pozornie bezpiecznych dokumentów przechowywanych na OneDrive.
Ataki socjotechniczne z Korei Północnej
Dokumenty używane przez hakerów są dobrze przemyślane i udają legalne pliki. Przykładowo, jednym z takich dokumentów jest plik MSC o nazwie „My_Essay(prof).msc”, który ma na celu wprowadzenie ofiary w błąd. Dokument ten został przesłany na platformę VirusTotal 5 kwietnia 2024 r. z Japonii, co sugeruje, że kampania może również atakować ten kraj.
Kimsuky zastosowali nietypowy typ plików MSC, aby ukryć swoje zamiary. Są one maskowane jako nieszkodliwe dokumenty Worda przy użyciu odpowiednich ikon. Po otwarciu pliku przez ofiarę konsola Microsoft Management Console (MMC) wyświetla dokument Worda, który uruchamia sekwencję cyberataku.
Po uruchomieniu zainfekowanego pliku uruchamiane jest polecenie, które łączy się z serwerem kontrolowanym przez hakerów. W ten sposób wyświetlany jest dokument znajdujący się na Dysku Google, jednocześnie w tle wykonywane są dodatkowe instrukcje, mające na celu zbieranie danych o urządzeniu ofiary oraz ustanowienie trwałej infekcji.
Zebrane informacje są przesyłane na serwer dowodzenia i kontroli (C2). Serwer ten może przechwytywać różne dane, takie jak adresy IP, informacje o użytkowniku oraz sygnatury czasowe. Co więcej – serwer może dostarczać nowe ładunki złośliwego oprogramowania w zależności od potrzeb hakerów.
Wzorce działania Kimsuky
Firma Genians zauważyła, że taktyki zastosowane w tej kampanii są zgodne z wcześniejszymi działaniami grupy Kimsuky. Organizacja ta wcześniej rozpowszechniała złośliwe oprogramowanie takie jak ReconShark, co zostało szczegółowo opisane przez SentinelOne w maju 2023 r.
Co wazne – ataki spear-phishingowe były najczęstszą metodą stosowaną przez APT (Advanced Persistent Threat) w Korei Południowej w pierwszym kwartale 2024 r.
Mimo że cyberataki za pośrednictwem mediów społecznościowych nie są często zgłaszane, stanowią poważne zagrożenie. Ich indywidualny i spersonalizowany charakter sprawia, że są trudne do wykrycia. Ofiary często nie zdają sobie sprawy, że padły ofiarą ataku, co utrudnia monitorowanie bezpieczeństwa. Wczesne wykrywanie tych zagrożeń jest kluczowe, aby zapobiec ich eskalacji.
