Grupa Hakerska Kimsuky Przyjmuje Phishing Bez Malware, Unikając Systemów Wykrywających

Kimsuky stosuje taktykę phishingu bez użycia złośliwego oprogramowania, rosyjskie serwisy e-mailowe oraz przekonujące strony internetowe, aby atakować badaczy, instytucje i organizacje finansowe, unikając wykrycia.

Badacze w Korei Południowej odkryli zmianę taktyki północnokoreańskiej grupy hakerów Kimsuky, która zaczęła stosować ataki typu phishing bez użycia złośliwego oprogramowania, mające na celu obejście głównych systemów Wykrywania i Reakcji na Punkcie Końcowym (Endpoint Detection and Response – EDR), jak donosi Cyber Security News (CSN).

Ta grupa, aktywna od kilku lat, skierowała swoje działania na badaczy i organizacje skupiające się na Korei Północnej. Jej ewoluujące strategie mają na celu unikanie wykrycia i zwiększenie skuteczności swoich kampanii.

CSN informuje, że istotną zmianą w podejściu Kimsuky jest sposób przeprowadzania ataków e-mailowych. Wcześniej grupa ta mocno polegała na japońskich usługach pocztowych w swoich kampaniach phishingowych.

Jednakże, najnowsze odkrycia ujawniają przejście na rosyjskie usługi e-mail, co czyni identyfikację podejrzanych komunikatów i unikanie potencjalnych naruszeń bardziej wyzwaniem – mówi CSN.

Kimsuky coraz częściej przyjmuje ataki phishingowe bez użycia złośliwego oprogramowania, polegające na starannie przygotowanych wiadomościach e-mail z phishingiem opartym na URL, które nie zawierają załączników z złośliwym oprogramowaniem, co sprawia, że są trudniejsze do wykrycia – według CSN.

Te maile często podszywają się pod podmioty takie jak elektroniczne usługi dokumentowe, menedżerowie bezpieczeństwa poczty elektronicznej, instytucje publiczne i organizacje finansowe.

Wiadomości e-mail wysyłane przez tę grupę są wysoce zaawansowane, często wykorzystują znane motywy finansowe, aby zwiększyć swoją wiarygodność i prawdopodobieństwo zaangażowania użytkownika, mówi CSN.

Raporty wskazują na wykorzystanie przez Kimsuky domen z „MyDomain[.]Korea”, darmowego koreańskiego serwisu rejestracji domen, do tworzenia przekonujących stron phishingowych, zauważa CSN.

Czasowy wykres działań przedstawiony przez Genians podkreśla stopniowe przesunięcie grupy w zakresie używania domen, zaczynając od domen japońskich i amerykańskich w kwietniu 2024, przechodząc na usługi koreańskie w maju, a na koniec przyjmując sfałszowane domeny rosyjskie we wrześniu, informuje CSN.

Te rosyjskie domeny, powiązane z narzędziem do phishingu o nazwie „star 3.0”, zostały zarejestrowane, aby wzmacniać kampanie grupy. Plik związany z tymi atakami, o nazwie „1.doc”, został oznaczony na VirusTotal, a niektóre usługi antymalware identyfikowały go jako powiązany z Kimsuky, informuje CSN.

Co ciekawe, użycie przez grupę mailera „star 3.0” nawiązuje do wcześniejszych kampanii zidentyfikowanych w 2021 roku. Wówczas mailer został odkryty na stronie internetowej Evangelia University, instytucji z siedzibą w USA, i został powiązany z północnokoreańskimi aktorami zagrożeń w raportach firmy Proofpoint.

Ewoluujące taktyki Kimsuky podkreślają potrzebę czujności wśród potencjalnych celów.

Eksperci ds. bezpieczeństwa cybernetycznego zalecają zwiększoną ostrożność wobec podejrzanych komunikatów, szczególnie tych związanych z kwestiami finansowymi, oraz przyjęcie zaawansowanych obron końcowych.

Pozostawanie na bieżąco z metodami grupy oraz aktualizowanie polityk bezpieczeństwa w odpowiedzi na pojawiające się zagrożenia są kluczowe dla ochrony poufnych informacji i utrzymania solidnych środków cyberbezpieczeństwa.