Kimsuky hackercsoport megbízható platformokat használ Dél-Korea elleni kibertámadásokhoz

Editors' Pick
Yanac , , , , , , , ,

Az észak-koreai Kimsuky hackercsoport egy új kampányban, a DEEP#DRIVE néven ismert műveletben Dropbox mappákat és PowerShell szkripteket használt, hogy elkerülje a felismerést és érzékeny információkat lopjon dél-koreai kormányzati és üzleti célpontoktól – derült ki a Securonix biztonsági cég jelentéséből.

A támadók hamis dokumentumokat (pl. munkanaplók, biztosítási iratok, kriptovalutákkal kapcsolatos fájlok) használtak a célpontok megtévesztésére. A felhasználókat arra késztették, hogy egy zippelt shortcut fájlt töltsenek le és futtassanak, amely összegyűjtötte a rendszerinformációkat, majd PowerShell és .NET szkriptek segítségével azokat feltöltötte Dropboxra. Innen további rosszindulatú parancsokat is letöltöttek a kompromittált rendszerek további fertőzésére.

Míg a támadások között voltak olyan célpontok is (pl. kriptovaluta-használók) melyektől pénzügyi haszon várható, a fő cél kémkedés volt. A támadás több mint 8000 rendszerkonfigurációs fájl feltöltésével járhatott, bár néhány esetben duplikációt is észleltek. A jelek szerint az azonos szervezetekhez tartozó gépek tömeges megfertőzése is megvalósult, ami laterális mozgásra utalhat.

Kimsuky fejlettebb műveleti biztonságot alkalmaz

A kampány során a Kimsuky fejlett operációs biztonsági (OpSec) módszereket alkalmazott:

  • OAuth-alapú hitelesítés: Az ellopott adatok Dropbox mappákba történő feltöltéséhez az OAuth-hitelesítést használták, így a hagyományos URL-blokkoló és hálózati védelmi rendszerek nem tudták könnyen észlelni a fenyegetést.
  • Gyors infrastruktúra-eltávolítás: A támadók gyorsan törölték a kampányhoz kapcsolódó komponenseket, amint a biztonsági kutatók vizsgálódni kezdtek.

Védekezési lehetőségek

A támadás rávilágít arra, hogy a rejtett fájlkiterjesztések letiltása, a shortcut fájlok blokkolása a felhasználói mappákban, valamint csak aláírt PowerShell szkriptek engedélyezése hatékony védelmi intézkedések lehetnek.

A veszélyeztetett szektorokban működő vállalatoknak – például kormányzati szerveknek és kriptotőzsdéknek – kiemelt figyelmet kell fordítaniuk az e-mail biztonság megerősítésére és az alkalmazottak rendszeres adathalász-tudatossági képzésére, mivel az észak-koreai támadások többsége még mindig social engineering és adathalászat révén kezdődik.

(forrás)

You May Also Like

Adathalász támadás célozza meg a nyugat-szaharai emberi jogi aktivistákat

Yanac

GuptiMiner

Geronimo

A Phobos Ransomware adminisztrátorának kiadatása

TrainedR