Хакеры из Северной Кореи еженедельно атаковали цели в США

GuildHall

Группировка Kimsuky применяет социальную инженерию, осуществляет атаки «watering hole» и обманом похищает учетные данные жертв.

Читайте также: США обвиняют иранских хакеров в кибератаке для вмешательства в президентские выборы

Северокорейские киберпреступники оказались связаны с многочисленной волной кампаний по краже учетных данных, нацеленных на исследователей, образовательные учреждения, правительство, СМИ и другие организации. Две кампании также были направлены на распространение вредоносного ПО, которое можно было бы использовать для сбора разведданных.

Специалисты из ИБ-фирмы Proofpoint связали кампании с группировкой, которую они отслеживают под названием TA406 (также известная как Kimsuky, Velvet Chollima, Thallium, Black Banshee, ITG16 и Konni Group.

Политики, журналисты и неправительственные организации стали жертвами продолжительных кампаний в период с января по июнь 2021 года. Атаки осуществлялись против целей в Северной Америке, а также в России, Китае и Южной Корее.

О группировке Kimsuky стало известно еще в 2012 году. На сегодняшний день группировка является одной из наиболее активных APT-угроз, которая осуществляет кибершпионаж и проводит атаки против госучреждений с целью получения финансовой выгоды.

Группировка применяет убедительные схемы социальной инженерии, осуществляет атаки «watering hole» и обманом заставляет жертв отправлять конфиденциальные учетные данные на фишинговых сайтах.

Фишинговые кампании Kimsuky претерпели заметные изменения в марте 2021 года, когда рассылки электронной почты вышли за рамки фишинга и стали средством распространения вредоносного ПО.

Электронные письма содержали ссылку, перенаправлявшую жертву на контролируемый злоумышленниками домен, используемый для загрузки сжатого архива.

Двоичный файл в архиве создавал запланированную задачу, которая выполнялась каждые 15 минут для установки дополнительных вредоносных программ с удаленного сервера.

Однако конечный мотив атак остается неизвестным, поскольку никаких дополнительных полезных нагрузок не наблюдалось.

Другая атака в июне нынешнего года привела к развертыванию загрузчика FatBoy с использованием HTML-приманки, которая затем применялась загрузки скрипта следующего этапа, способного собирать «обширную информацию» о целевом устройстве.

Ранее сообщалось, что иранская авиакомпания подверглась кибератаке.

Запись Хакеры из Северной Кореи еженедельно атаковали цели в США впервые появилась GuildHall.