Nordkoreanische Hackergruppe zielt aufwärts Diplomaten ab und verzichtet aufwärts Schadsoftware

Eine nordkoreanische Cyber-Operations-Menge konzentriert sich verstärkt aufwärts Cyberspionage und zielt aufwärts Diplomaten und regionale Experten ab.

Ein neuer Meldung dieser Nachrichtensicherheitsfirma Proofpoint, dieser sich aufwärts eine einzelne Untergruppe dessen konzentrierte, welches andere Sicherheitsfirmen Kimsuky nennen, ergab, dass die nordkoreanische Menge hauptsächlich aufwärts Einzelpersonen in den USA, Russland und Volksrepublik China abzielt und normalerweise versucht, heimlich Anmeldeinformationen zu vereinen , Informationen abzusaugen und – wie viele Angriffe, die Nordkorea zugeschrieben werden – Kompromisse in finanziellen Preis umzuwandeln.

Die Hackergruppe, die Proofpoint Threat Actor 406 (TA406) nennt, versuchte, hochrangige Beamte, Strafverfolgungsbehörden und Wirtschafts- und Finanzexperten in wöchentlichen Angriffen zu kompromittieren – eine Abkehr von Angriffen aufwärts niedrigerer Level in den vergangenen Jahren.

Darüber hinaus nach sich ziehen nordkoreanische Gruppen vor 2021 normalerweise keine nationalen Sicherheitsfragen denn Lockmittel verwendet, demgegenüber dasjenige hat sich geändert, sagt Sherrod DeGrippo, Vizepräsident zu Händen Bedrohungsforschung und -erkennung wohnhaft bei Proofpoint.

“Die bemerkenswertesten Aspekte von TA406 sind ihre Vielseitigkeit wohnhaft bei dieser Verwendung jeglicher Mittel zum Zwecke des finanziellen Gewinns und ihre Starrsinn, dieselben Personen anzusprechen [and] Organisationen wiederholt”, sagt sie. “Wie wohnhaft bei anderen staatsnahen Gruppen unterscheiden sich diejenigen, die mit Nordkorea verbunden sind, in ihren Fähigkeiten und nach sich ziehen wahrscheinlich sich ständig weiterentwickelnde Ziele, die aufwärts staatlichen Interessen basieren.”

Während Cyberoperationen durch Volksrepublik China und Russland normalerweise die meiste Präsent aufwärts sich ziehen, nach sich ziehen sich Experten vor Kurzem aufwärts Aktivitäten von Gruppen konzentriert, die mit dem Persien und Nordkorea in Vernetzung stillstehen. Selbige Woche warnte die Cybersecurity and Infrastructure Security Agency (CISA), dass Angriffe von mit dem Persien verbundenen Gruppen versuchen, bekannte Schwachstellen in Fortinet-Netzwerkgeräten und dem Exchange-Server von Microsoft auszunutzen. Nordkoreas bekannte Lazarus-Menge hat spezifisch Lieferketten anvisiert und hier zusammensetzen südkoreanischen Lieferant von Sicherheitssoftware und zusammensetzen lettischen Lieferant von IT-Zusatzposten-Management kompromittiert.

In jüngerer Zeit hat Nordkorea zusammensetzen Majorität seiner Bemühungen aufwärts Spionagekampagnen und die Ausrichtung aufwärts Organisationen konzentriert, um finanziellen Preis zu erzielen, womit Kryptowährung ein häufiges Ziel von Angriffen ist.

„Zustandekommen 2021 begann TA406 sozusagen wöchentliche Kampagnen mit Themen wie Atomwaffensicherheit, US-Vorsitzender Joe Biden, koreanische Außenpolitik und andere politische Themen“, heißt es in dem Proofpoint-Meldung. „Die Menge versuchte, Anmeldeinformationen wie Microsoft-Anmeldeinformationen oder andere Unternehmensanmeldeinformationen von den Zielpersonen zu vereinen. In einigen Fällen waren die E-Mails harmlos, [but] Selbige Nachrichtensendung könnten Versuche dieser Angreifer gewesen sein, mit den Opfern in Kontakt zu treten, vorweg sie ihnen zusammensetzen bösartigen Link oder Gefolge senden.”

Drei nordkoreanische Gruppen
Dieser Meldung verglich drei Untergruppen dieser weitläufigen nordkoreanischen Cyber-Kampagne namens Kimsuky. Dieser Kapitalaufwand umfasste TA406, demgegenüber Proofpoint beschrieb nebensächlich, wie sich ebendiese Menge von Betreibern von anderen Untergruppen wie TA408 und TA427 unterschied, die sich normalerweise aufwärts eine kleinere Untergruppe von Zielen zusammenfassen. Die Gruppen urteilen sich in dieser Regel an Regierungen, Wissenschaftler, Medien und Organisationen, die mit Kryptowährung in Vernetzung stillstehen.

Die Gruppen nach sich ziehen sich mehr aufwärts eine Vielzahl von Techniken zum Zusammenschließen von Anmeldeinformationen verlagert, insbesondere aufwärts Benutzernamen und Passwörter zu Händen politische und finanzielle Ziele, heißt es in dem Meldung.

„TA406 führt Credential-Phishing-Kampagnen durch, die sich an Experten von politischen und außenpolitischen Organisationen und NGOs urteilen, insbesondere an diejenigen, die mit Aktivitäten zusammenarbeiten oder Experten zu Händen Aktivitäten sind, die sich aufwärts die koreanische Peninsula auswirken, einschließlich dieser nuklearen Nichtverbreitung“, sagte Proofpoint.

Ernteberechtigungen
Die Angreifer nutzen eine Vielzahl unterschiedlicher Messaging-Plattformen, unter anderem betreiben sie ihre eigenen Systeme aufwärts Grund von PHP-Servern wie PHPMailer und Star, nutzen demgegenüber nebensächlich große Dienstanbieter wie GMail oder Yandex sowie gestohlene oder synthetische Identitäten, um gezielte Personen zu täuschen. In einigen Fällen setzte dasjenige Cyber-Operations-Team nebensächlich Schadsoftware ein, um in einer bestimmten Umgebung Persistenz zu erlangen.

„Credential Harvesting-Kampagnen zielten in dieser Regel aufwärts mehrere Organisationen taktgesteuert ab, während Schadsoftware-Kampagnen in begrenzten, sehr gezielten Fällen eingesetzt wurden“, sagt DeGrippo. “Im Jahr 2021 machten Schadsoftware-Kampagnen weniger denn 10 % dieser Gesamtaktivität aus, die aufwärts TA406 zurückzuführen ist.”

Angreifer nach sich ziehen sich zunehmend aufwärts dasjenige Zusammenschließen von Anmeldeinformationen konzentriert, da immer mehr Mitwirkender von zu Hause aus funktionieren und aufwärts Cloud-Dienste und Online-Unterbau zupacken, oft nur mit Benutzernamen und Passwort. Dies Versprühen von Anmeldeinformationen, wohnhaft bei dem Angreifer versuchen, gestohlene oder gängige Passwörter zu verwenden, um Zugang zu Konten zu erhalten, ist laut Akamai im vergangenen Jahr mit mehr denn 193 Milliarden Anmeldeversuchen im Jahr 2020 in die Höhe geschossen.

Da dieser Cloud-Zugriff immer wichtiger wird, hat sich dieser Trend im Jahr 2021 fortgesetzt, womit dieser Zugriff aufwärts Remote Desktop Protocol (RDP)-Server und Virtual Private Network (VPN)-Appliances laut IBM zu den wertvollsten online verkauften Anmeldeinformationen gehört.