Észak-koreai kiberkémkedési kampány az ukrán kormány ellen
A Proofpoint jelentése szerint észak-koreai állam által támogatott kiberszereplők egy új kiberkémkedési kampány keretében ukrán kormányzati szerveket vettek célba, valószínűleg azzal a céllal, hogy információkat gyűjtsenek Oroszország háborús erőfeszítéseiről. A TA406 (más néven Opal Sleet vagy Konni) néven nyomon követett csoport arról ismert, hogy spear-phishing támadásokkal kormányokat, kutatóközpontokat, agytrösztöket, tudományos intézményeket és médiaszervezeteket céloz meg világszerte – különösen Európában, Japánban, Oroszországban, Dél-Koreában és az Egyesült Államokban.
Korábban a csoport stratégiai hírszerzésre összpontosított Oroszországban. A Proofpoint szerint az ukrán kormányzat elleni kibertevékenység legújabb hulláma arra utal, hogy Phenjan jobban meg akarja érteni az orosz invázió elleni további harc iránti elköteleződést és a konfliktus középtávú kilátásait.
Észak-Korea 2024 végén kezdett csapatokat telepíteni Ukrajnába az orosz erők támogatására, ezért valószínűleg arra használja az említett kampányban megszerzett információkat, hogy felmérje a saját erőit érintő kockázatokat, és, hogy Moszkvának szüksége lesz-e további katonai támogatásra.
A TA406 a közelmúltbeli ukrajnai kampányai során különböző technikákat alkalmazott, többek között agytrösztök tagjainak adta ki magát, hogy az áldozatokat az ukrán belpolitika közelmúltbeli eseményeivel kapcsolatos adathalász e-mailek megnyitására csábítsa. A TA406 2019 óta a kampányainak korai szakaszában a beágyazott PowerShell futtatásához a HTML és CHM fájlokat részesíti előnyben. A 2025. februári TA406-kampányban megfigyelt csali e-mailekben egy fiktív vezető munkatársnak adják ki magukat egy Royal Institute of Strategic Studies nevű agytröszttől, amely egy fiktív szervezet. Az e-mail a MEGA szolgáltatásra mutató linket tartalmaz, amely egy jelszóval védett RAR-archívumot tölt le. Ha a fájlt visszafejtik és futtatják, akkor a PowerShell segítségével egy fertőzési láncot indít el, amely kiterjedt felderítést végez a célállomáson. A szereplő több adathalász e-mailt küldött egymást követő napokon, amikor a célpont nem kattintott a linkre, és megkérdezte a célpontot, hogy megkapta-e az előző e-maileket, és hogy letöltötte-e a fájlokat.
A Proofpoint megosztotta az azonosított IoC-kat.
