Overslaan en naar de inhoud gaan

SentinelLabs volgt Noord-Koreaanse APT-groep

SentinelLabs, het researchteam van SentinelOne, heeft samen met NK News, een abonnementsdienst met nieuws en analyses over Noord-Korea, een social engineering-campagne gevolgd, gericht op experts in Noord-Koreaanse zaken uit de niet-overheidssector.

Het doel van de campagne is diefstal van e-mailgegevens, levering van verkenningsmalware en diefstal van NK News-abonnementsgegevens. Op basis van de malware, infrastructuur en tactieken die worden gebruikt, is de kans erg groot dat de campagne afkomstig is Kimsuky.

De tactieken van Kimsuky
Kimsuky is een Noord-Koreaanse advanced persistent threat (APT)-groep, wiens activiteiten aansluiten bij de belangen van de Noord-Koreaanse overheid. Het staat bekend om zijn wereldwijde aanvallen op organisaties en individuen. De groep is sowieso al sinds 2012 actief en maakt vaak gebruik van gerichte phishing en social engineering-tactieken om toegang te krijgen tot gevoelige informatie.

Kimsuky legt het eerste contact, bouwt een band op met hun doelwitten en wekt vertrouwen voordat ze kwaadaardige activiteiten uitvoeren, in de hoop dat hun activiteiten hierdoor succesvoller zijn. Als onderdeel van hun strategie deden ze zich voor als Chad O’Carroll, de oprichter van NK News en de bijbehorende holding Korea Risk Group, met behulp van een gecreëerd domein dat sterk lijkt op het legitieme NK News-domein.

In de eerste e-mail die een doelwit krijgt, wordt gevraagd om een artikel te reviewen waarin de nucleaire dreiging van Noord-Korea wordt geanalyseerd. Als het doelwit reageert, deelt Kimsuky een vervalste Google-document-URL, die omleidt naar een schadelijke website die speciaal is ontwikkeld om Google-informatie te stelen. De website lijkt erg op de echte NK News-site. Een ander doel van Kimsuky is om aanmeldingsgegevens van NK News te stelen. De groep verstuurt ook van een Office-document dat de ReconShark-verkenningsmalware gebruikt.

Blijven monitoren
SentinelLabs blijft de activiteiten van Kimsuky actief volgen. De huidige bevindingen laten zien dat de groep gerichte social engineering-aanvallen gebruikt. Het is belangrijk dat potentiële doelwitten zich bewust worden van en inzicht krijgen in de tactieken van Kimsuky. Oplettendheid en effectieve beveiligingsmaatregelen zijn noodzakelijk om de risico’s te beperken.

Bezoek voor meer achtergrondinformatie en de technische analyse deze Engelstalige blog.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in