Pesquisadores de segurança alertaram que hackers apoiados pelo governo norte-coreano estão se passando por jornalistas para reunir inteligência estratégica para ajudar a orientar a tomada de decisões do país.
Pesquisadores do SentinelLabs disseram na terça-feira que vincularam uma campanha de engenharia social direcionada a especialistas em assuntos norte-coreanos a um grupo norte-coreano de ameaça persistente avançada (APT) conhecido como Kimsuky. O grupo, também conhecido como APT43, Thallium e Black Banshee, opera desde pelo menos 2012 e é conhecido por usar engenharia social e e-mails de phishing direcionados e por coletar informações confidenciais em nome do regime norte-coreano.
A mais recente campanha de engenharia social de Kimsuky teve como alvo os assinantes do NK News , um site americano baseado em assinaturas que fornece histórias e análises sobre a Coreia do Norte.
O SentinelLabs observou Kimsuky se passando por Chad O’Carroll, o fundador da NK News, para entregar um link falsificado do Google Docs aos assinantes do NK News, que redirecionava para um site malicioso criado especificamente para capturar as credenciais do Google da vítima. Em alguns casos, os hackers Kimsuky também entregaram um documento armado do Microsoft Office que executa o malware ReconShark, que é capaz de extrair informações como quais mecanismos de detecção estão em uso em um dispositivo e informações sobre o próprio dispositivo.
Em outro ataque observado pelo SentinelLabs, Kimsuky distribuiu um e-mail que pedia aos assinantes que fizessem login em um serviço de assinatura falsificado do NK News. Obter acesso às credenciais do NK News dos usuários forneceria aos hackers norte-coreanos “insights valiosos sobre como a comunidade internacional avalia e interpreta os desenvolvimentos relacionados à Coreia do Norte, contribuindo para suas iniciativas estratégicas mais amplas de coleta de inteligência”, escreveu Aleksandar Milenkoski, uma ameaça sênior pesquisador do SentinelLabs.
Kimsuky também foi observado enviando links legítimos do Google Docs e documentos do Word livres de malware para desenvolver um relacionamento com seus alvos antes de iniciar suas atividades maliciosas.
A análise do SentinelLabs ocorre dias depois que os governos dos EUA e da Coréia do Sul emitiram um alerta de que Kimsuky estava realizando ataques de spearphishing direcionados para canalizar informações geopolíticas valiosas e outros dados roubados para o regime norte-coreano.
A assessoria conjunta alertou que o grupo Kimsuky estava se passando por jornalistas, acadêmicos, pesquisadores de think tanks e funcionários do governo para atingir indivíduos que trabalham em assuntos norte-coreanos.
“Esses atores cibernéticos estão se passando por fontes legítimas estrategicamente para coletar informações sobre eventos geopolíticos, estratégias de política externa e desenvolvimentos de segurança de interesse para [a Coreia do Norte] na península coreana”, disse o diretor de segurança cibernética da NSA, Rob Joyce. “Educação e conscientização são a primeira linha de defesa contra esses ataques de engenharia social.”
Na época, o Ministério das Relações Exteriores da Coreia do Sul (MOFA) também impôs sanções ao grupo de hackers norte-coreano e identificou dois endereços de criptomoedas usados por Kimsuky. O governo também acusou o grupo de estar envolvido no lançamento de um satélite espião fracassado na semana passada.
Fonte leia mais: https://techcrunch.com/2023/06/06/north-korea-hackers-kimsuky-strategic-intelligence/
