Северная Корея набирает учёных со всего мира для оценки своей ядерной программы

Северокорейская хакерская группа Kimsuky преследует экспертов по делам Северной Кореи и СМИ в рамках кампании по сбору разведывательных данных — даже прибегая к краже информации о подписке для новостных агентств, освещающих дела страны.

Выводы SentinelOne совпадают с предупреждением АНБ о том, что Kimsuky использует социальную инженерию и вредоносное ПО для нападения на аналитические центры, учёных и СМИ. Специалисты SentinelOne обнаружили , что кампания сосредоточена на краже аккаунтов электронной почты, доставке инфостилеров и краже учетных данных пользователей подписки американского новостного издания о Северной Корее NK News (North Korea News).

В ходе кампании хакеры Kimsuky ведут активную переписку по электронной почте и используют поддельные URL-адреса, фишинговые веб-сайты, и заражённые документы Microsoft Office.

Пример электронного письма хакеров Kimsuky (переведено)

Хакеры Kimsuky выдавали себя за издание NK News и вели переписку с экспертами. В частности, злоумышленники выдавали себя за основателя NK News Чада О'Кэрролла и использовали свой домен «nknews[.]pro», который напоминал настоящий сайт новостного агентства.

В первом электронном письме жертв просят просмотреть черновик статьи о ядерном оружии Северной Кореи. Если киберпреступники получают ответ от жертвы, хакеры отправляют URL-адрес документа Google, который перенаправляет жертв на вредоносный веб-сайт, предназначенный для кражи учетных данных для входа в Google.

Также хакеры отправляли вредоносные документы Office, заражённые инфостилером ReconShark, предназначенным для извлечения информации о жертвах, а именно информации об установленных средствах обнаружения и оборудовании. Эти данные будут использованы в последующих целевых атаках группы.

Для кражи аккаунтов с подпиской на NK News злоумышленники распространяли электронные письма, которые заманивают жертв перейти на фишинговый сайт «nknews[.]pro», имитирующий подлинный сайт NK News. Форма входа на сайте предназначена для захвата введенных учетных данных.

Поддельная страница входа в NK News

На прошлой неделе спецслужбы США и Южной Кореи предупредили о кибератаках , которые совершают северокорейские хакеры Kimsuky против аналитических центров, учебных заведений и СМИ, занимающихся вопросами КНДР. Целью Kimsuky является получение незаконного доступа к разведданным и прочей ценной геополитической информации для северокорейского правительства. Группа активна с 2012 года и подчиняется Главному разведывательному управлению КНДР.

В SentinelOne заявили, что эта кампания свидетельствует о растущих усилиях Kimsuky по установлению связи и укреплению доверия со своими целями до начала вредоносных операций. Такой подход подчеркивает приверженность злоумышленников созданию взаимопонимания с жертвами, что потенциально увеличивает вероятность успеха их последующих злонамеренных действий.

Нацеливаясь на высокопоставленных экспертов по делам Северной Кореи и пытаясь украсть учетные данные для подписки на известные новостные и аналитические издания, посвященных Северной Корее, киберпреступники демонстрируют повышенное любопытство к пониманию того, как международное сообщество воспринимает события и военную деятельность Северной Кореи. Разведывательная деятельность северокорейских хакеров, вероятно, является частью более широкой цели по сбору стратегической информации, способствуя процессам принятия решений в Северной Корее.