Kimsuky mira em Think Tanks e sites de notícias com Ataques de Engenharia Social
9 de Junho de 2023

O ator de ameaças do estado-nação norte-coreano conhecido como Kimsuky foi vinculado a uma campanha de engenharia social destinada a especialistas em assuntos norte-coreanos com o objetivo de roubar credenciais do Google e entregar malware de reconhecimento.

"Além disso, o objetivo de Kimsuky se estende ao roubo de credenciais de assinatura da NK News", disse a empresa de segurança cibernética SentinelOne em um relatório compartilhado com o The Hacker News.

"Para alcançar isso, o grupo distribui e-mails que atraem indivíduos-alvo para fazer login no site malicioso nknews, que se faz passar pelo site autêntico da NK News.

O formulário de login apresentado ao alvo é projetado para capturar as credenciais inseridas".

A NK News, fundada em 2011, é um site de notícias americano baseado em assinatura que fornece histórias e análises sobre a Coreia do Norte.

A divulgação ocorre dias após as agências de inteligência dos Estados Unidos e da Coreia do Sul emitirem um alerta avisando sobre o uso de táticas de engenharia social pelo Kimsuky para atingir think tanks, academia e setores de mídia de notícias.

Na semana passada, o grupo de ameaças foi sancionado pelo Ministério das Relações Exteriores da Coreia do Sul.

Ativo desde pelo menos 2012, Kimsuky é conhecido por suas táticas de spear-phishing e suas tentativas de estabelecer confiança e rapport com os alvos pretendidos antes de entregar malware, uma ferramenta de reconhecimento chamada ReconShark.

O objetivo final das campanhas é reunir inteligência estratégica, insights geopolíticos e acesso a informações confidenciais que têm valor para a Coreia do Norte.

"Sua abordagem destaca o compromisso do grupo em criar um senso de rapport com os indivíduos que visam, potencialmente aumentando a taxa de sucesso de suas subsequentes atividades maliciosas", disse o pesquisador de segurança Aleksandar Milenkoski.

As descobertas também seguem novas revelações do governo sul-coreano de que mais de 130 observadores norte-coreanos foram isolados como parte de uma campanha de phishing orquestrada pelo grupo de hackers apoiado pelo governo.

Além disso, com a Coreia do Norte ganhando uma parte significativa de sua renda em moeda estrangeira com ataques cibernéticos e roubos de criptomoedas, atores de ameaças que operam em nome dos interesses do regime foram observados imitando instituições financeiras e empresas de capital de risco no Japão, nos EUA e no Vietnã.

A empresa de segurança cibernética Recorded Future conectou a atividade a um grupo rastreado como TAG-71, um subgrupo de Lazarus, que também é conhecido como APT38, BlueNoroff, Nickel Gladstone, Sapphire Sleet, Stardust Chollima e TA444.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...