SentinelLabs’e göre Kuzey Koreli APT grubu Kimsuky, Kuzey Kore meselelerinde hükümet dışı sektörlerden uzmanları hedef alan bir toplum mühendisliği operasyonu yürütüyor.
Kuzey Koreli bilgisayar korsanlığı grubu Kimsuky (APT43 olarak da bilinir), düşünce kuruluşlarından, araştırma merkezlerinden, akademik kurumlardan ve çeşitli medya kuruluşlarından istihbarat toplamaya yönelik hedefli kimlik avı girişimleri için bir gazeteci ve akademisyen kılığına giriyor.
SentinelLabs, “Kampanya, e-posta kimlik bilgilerinin çalınmasına, keşif amaçlı kötü amaçlı yazılım dağıtımına ve NK News abonelik kimlik bilgilerinin çalınmasına odaklanıyor.”
Kuzey Kore Hacker Grubu Kimsuky’nin Faaliyetleri
Kimsuky’nin en son sosyal mühendislik girişimi, Kuzey Kore hakkında haber ve yorumlar sunan, abonelik tabanlı bir Amerikan web sitesi olan NK News abonelerine yönelikti.
Kimsuky’nin faaliyetleri, Kuzey Kore hükümetininkilerle aynı çizgide görünüyor.
Çete en az 2012’den beri faaliyet gösteriyor ve hassas verileri elde etmek ve istihbarat toplamak için sık sık hedefli kimlik avı ve sosyal mühendislik tekniklerini kullanıyor.
Thallium ve Velvet Chollima olarak da bilinen Kimsuky, ulusal istihbarat hedeflerini desteklemek için kapsamlı casusluk çalışmaları yürütmüştür.
Bir cihazda hangi algılama sistemlerinin kullanıldığı ve cihazın kendisiyle ilgili bilgiler de dahil olmak üzere bilgileri sızdırabilen ReconShark kötü amaçlı yazılımı, bazı durumlarda Kimsuky bilgisayar korsanları tarafından silah haline getirilmiş Microsoft Office belgelerinde sunuldu.
SentinelLabs’in gözlemlediği farklı bir saldırıda Kimsuky, alıcılardan sahte bir NK News abonelik hizmetine giriş yapmalarını isteyen e-postalar gönderdi.
Kuzey Koreli bilgisayar korsanları, “uluslararası toplumun Kuzey Kore ile ilgili gelişmeleri nasıl değerlendirip yorumladığına dair değerli içgörüler kazanarak, daha geniş stratejik istihbarat toplama girişimlerine katkıda bulunacakları” için, kullanıcıların NK News oturum açma bilgilerine erişim elde etmekten fayda sağlayacaklar. SentinelLabs.
Ek olarak, Kimsuky’nin zararlı eylemlerine başlamadan önce hedefleriyle bağlantı kurmak amacıyla kötü amaçlı yazılım içermeyen Word belgeleri ve meşru Google Dokümanları bağlantıları sağladığı görüldü.
Gazeteci ve Yazar Kılığına Girmek
Kimsuky’den bilgisayar korsanları, gerçek insanlara çok benzeyen e-posta hesapları kullanarak ve hedefin iletişimi için inandırıcı, gerçekçi içerik oluşturarak hedefli kimlik avı saldırılarını dikkatli bir şekilde organize eder ve yürütür.
Bilgisayar korsanları, Kore yarımadasındaki son siyasi gelişmeler, Kuzey Kore silah programı, ABD görüşmeleri, Çin’in konumu ve diğer konular hakkında bilgi almak için sık sık gazeteci ve yazar kılığına giriyor.
Görülen temalar arasında sorgular, görüşme istekleri, devam eden bir anket ve rapor veya belge inceleme talepleri yer alır.
İlk e-postaların amacı, hedefin güvenini hızla bozmak yerine kazanmak olduğundan, genellikle kötü amaçlı yazılım veya ek içermezler.
Hedef bu e-postalara yanıt vermezse, Kimsuky birkaç gün sonra başka bir mesajla durumu takip eder.
Kimlik avı mesajı, hedef Güney Koreli ise, belirgin bir Kuzey Kore lehçesi kullanabilir.
Ek olarak, kimlik avı dolandırıcılığı göndermek için kullanılan e-posta adresleri, gerçek kişilerin veya şirketlerin sahtekarlıklarıdır, ancak bunlar her zaman biraz yanlış yazılır.
Bu nedenle, bu kalıcı tehdit aktörünün tehditlerini azaltmak için dikkati sürdürmek ve güçlü güvenlik önlemlerini devreye sokmak çok önemlidir.
İş E-postanızı Hedefleyen Gelişmiş E-posta Tehditlerini Durdurun – Yapay Zeka Destekli E-posta Güvenliğini Deneyin