Redactie - 15 juni 2023

SentinelOne: Nieuwe social engineering-campagne steelt gegevens en verzamelt strategische informatie

SentinelLabs, het researchteam van SentinelOne, heeft samen met NK News, een abonnementsdienst met nieuws en analyses over Noord-Korea, een social engineering-campagne gevolgd, gericht op experts in Noord-Koreaanse zaken uit de niet-overheidssector.

SentinelOne: Nieuwe social engineering-campagne steelt gegevens en verzamelt strategische informatie image

Het doel van de campagne is diefstal van e-mailgegevens, levering van verkenningsmalware en diefstal van NK News-abonnementsgegevens. Op basis van de malware, infrastructuur en tactieken die worden gebruikt, is de kans erg groot dat de campagne afkomstig is Kimsuky.

De tactieken van Kimsuky
Kimsuky is een Noord-Koreaanse advanced persistent threat (APT)-groep, wiens activiteiten aansluiten bij de belangen van de Noord-Koreaanse overheid. Het staat bekend om zijn wereldwijde aanvallen op organisaties en individuen. De groep is sowieso al sinds 2012 actief en maakt vaak gebruik van gerichte phishing en social engineering-tactieken om toegang te krijgen tot gevoelige informatie.

Kimsuky legt het eerste contact, bouwt een band op met hun doelwitten en wekt vertrouwen voordat ze kwaadaardige activiteiten uitvoeren, in de hoop dat hun activiteiten hierdoor succesvoller zijn. Als onderdeel van hun strategie deden ze zich voor als Chad O’Carroll, de oprichter van NK News en de bijbehorende holding Korea Risk Group, met behulp van een gecreëerd domein dat sterk lijkt op het legitieme NK News-domein.

In de eerste e-mail die een doelwit krijgt, wordt gevraagd om een artikel te reviewen waarin de nucleaire dreiging van Noord-Korea wordt geanalyseerd. Als het doelwit reageert, deelt Kimsuky een vervalste Google-document-URL, die omleidt naar een schadelijke website die speciaal is ontwikkeld om Google-informatie te stelen. De website lijkt erg op de echte NK News-site. Een ander doel van Kimsuky is om aanmeldingsgegevens van NK News te stelen. De groep verstuurt ook van een Office-document dat de ReconShark-verkenningsmalware gebruikt.

Blijven monitoren
SentinelLabs blijft de activiteiten van Kimsuky actief volgen. De huidige bevindingen laten zien dat de groep gerichte social engineering-aanvallen gebruikt. Het is belangrijk dat potentiële doelwitten zich bewust worden van en inzicht krijgen in de tactieken van Kimsuky. Oplettendheid en effectieve beveiligingsmaatregelen zijn noodzakelijk om de risico’s te beperken.

Bezoek voor meer achtergrondinformatie en de technische analyse deze Engelstalige blog.

Axians 12/11/2024 t/m 26/11/2024 BN+BW