Devlet destekli Kuzey Koreli hacker grubu Kimuky (A.Ka. APT43), düşünce tanklarından, araştırma merkezlerinden, akademik kurumlardan ve çeşitli medya kuruluşlarından istihbarat toplamak için mızrak avı kampanyaları için gazetecileri ve akademisyenleri taklit ediyor.
Uyarı, ABD ve Güney Kore'deki bilgisayar korsanlarının etkinliğini izleyen ve grubun saldırılar için kullanılan son kampanyalarını ve temalarını analiz eden birden fazla devlet kurumundan geliyor.
Federal Soruşturma Bürosu'ndan (FBI), ABD Dışişleri Bakanlığı, Ulusal Güvenlik Ajansı (NSA), Güney Kore Ulusal İstihbarat Servisi (NIS), Ulusal Polis Ajansı (NPA) ve Dışişleri Bakanlığı (Dışişleri Bakanlığı ( MOFA), Kimuky'nin Kuzey Kore Keşif Genel Bürosu'nun (RGB) bir parçası olduğunu belirtiyor.
Tallium ve Velvet Chollima olarak da bilinen Kimuky, en az 2012'den beri ulusal istihbarat hedeflerini destekleyen büyük ölçekli casusluk kampanyaları yürüttü.
“Bazı hedefli varlıklar, bu sosyal mühendislik kampanyalarının yarattığı tehdidi indirebilir, çünkü araştırmalarını ve iletişimlerini doğada hassas olarak algılamadıkları ya da bu çabaların rejimin daha geniş siber casusluk çabalarını nasıl körüklediğinin farkında olmadıkları için” diyor Danışma.
“Ancak, […] Kuzey Kore, politika analistlerinden ödün vererek kazanılan zekaya güveniyor […] (ve) başarılı uzlaşmalar, Kimsuky aktörlerinin daha hassas, daha yüksek değerli hedeflere karşı daha güvenilir ve etkili mızrak akhisciliği e-postaları oluşturmalarını sağlıyor. . "
Kimuky Hacker'ları, gerçek bireylerinkine yakından benzeyen e-posta adreslerini kullanarak ve hedefle iletişim için ikna edici, gerçekçi içerik hazırlayarak mızrak avcı saldırılarını titizlikle planlıyor ve yürütüyorlar.
“On yılı aşkın bir süredir, Kimuky aktörleri sosyal mühendislik tekniklerini geliştirmeye devam ettiler ve mızrak avlama çabalarını fark etmeyi giderek zorlaştırdı” diye uyarıyor.
Birçok durumda, bilgisayar korsanları gazetecileri ve yazarları Kore Yarımadası'ndaki mevcut siyasi olaylar, Kuzey Kore Silahlar Programı, ABD görüşmeleri, Çin’in duruşu ve daha fazlası hakkında sorgulamak için taklit eder.
Gözlemlenen temalar arasında sorular, görüşme davetiyeleri, devam eden bir anket ve raporlar veya belgeleri gözden geçirme talepleri bulunmaktadır.
İlk e -postalar genellikle kötü amaçlı yazılımlar veya ekler içermez, çünkü rolleri hızlı bir uzlaşma elde etmek yerine hedefin güvenini kazanmaktır.
Hedef bu e-postalara cevap vermezse, Kimsuky birkaç gün sonra bir takip mesajı ile döner.
FBI, düşmanın çabalarına rağmen, İngilizce e -postaların bazen bir cümle yapısına sahip olduğunu ve kurbanın çalınan meşru temaslarla önceki iletişiminden tüm alıntıları içerebileceğini söylüyor.
Hedef Güney Koreli olduğunda, kimlik avı mesajı farklı bir Kuzey Kore lehçesi içerebilir.
Ayrıca, kimlik avı e -postaları göndermek için kullanılan adresler, meşru kişilerin veya kuruluşlarınkini doldurur; Bununla birlikte, her zaman ince yazımlar içerirler.
Danışmanlık, hesapları korumak için güçlü şifrelerin kullanılmasını ve çok faktörlü (MFA) kimlik doğrulamasını etkinleştirmeyi içeren bir dizi hafifletme önlemi sağlar.
Buna ek olarak, kullanıcılara, mesajlar ne iddia etsin, bilinmeyen bireyler tarafından gönderilen e -postalardaki belgelerdeki makroları etkinleştirmemeleri önerilir.
Platformların meşruiyeti, bu dosyaların güvenliğinin bir garantisini oluşturmadığından, bilinen bulut barındırma hizmetlerinden gönderilen belgelerle aynı dikkat gösterilmelidir.
Bir medya grubundan veya gazeteciden geldiğini iddia eden bir mesajdan şüphe duyduğunuzda, kuruluşun resmi web sitesini ziyaret edin ve iletişim bilgilerinin geçerliliğini onaylayın.
Ortak Danışma, daha fazla iletişim kurmaya karar vermeden önce potansiyel bir kimliğe bürünme belirsizliğini dağıtmak için etkili bir strateji olarak bir ön video çağrısı yapılmasını önermektedir.
Kimuky Hacker'lar güvenlik boşluklarını bulmak için yeni Recon aracı kullanıyor
Koyu pembe bilgisayar korsanları govt ve askeri organizasyonları hedeflemeye devam ediyor
Lazarus Hacker'ları ilk erişim için Windows IIS web sunucularını hedeflemek
ABD'nin Kuzey Kore’nin ‘Yasadışı’ işçi ordusunun arkasındaki yaptırımlar
FBI, Bianlian Ransomware Switch'i sadece gasplara doğru çıkarır
Kaynak: Bleeping Computer