Северокорейская группа Kimsuky вернулась в инфополе после атаки на ряд немецких и южнокорейских учреждений

Правительственные учреждения Германии и Южной Кореи на этой неделе стали жертвами новой кампании целевого фишинга со стороны печально известной северокорейской группы Kimsuky (она же TA406 и Thallium), активной по меньшей мере с 2012 года.

Согласно документу , опубликованному южнокорейской стороной, 20 марта атаке со стороны Kimsuky подверглось множество немецких и южнокорейских учреждений. В основном хакеры были нацелены на дипломатов и политических экспертов, изучающих вопросы Корейского полуострова и Северной Кореи.

В некоторых случаях целевого фишинга злоумышленники отправляли жертвам электронные письма от лица их знакомых, содержащие вредоносное расширение для браузеров на основе Chromium. После установки расширение автоматически считывало и пересылало любые электронные письма в сервисе Gmail, полученные или отправленные с компьютера жертвы.

В ходе уже другой атаки участники Kimsuky пошли дальше. Они сначала опубликовали через консоль для разработчиков Google Play вредоносное приложение для «внутреннего тестирования» и выдали к нему доступ на целевые аккаунты, которые планировалось взломать. Затем, благодаря тем же методам целевого фишинга, хакеры получили учётные данные для входа в целевые Google-аккаунты и удалённо устанавливали вышеупомянутое вредоносное приложение на целевые смартфоны (в Google Play есть такая функция). После установки приложение точно так же начинало собирать и пересылать злоумышленникам всю конфиденциальную информацию, доступную жертве.

В предупреждении об этой группе за октябрь 2020 года американское агентство CISA сообщило, что хакерам Kimsuky, вероятно, поручено северокорейским режимом выполнить глобальную миссию по сбору разведданных. В ряде случаев злоумышленники выдавали себя за южнокорейских журналистов, чтобы получить доступ к нужным им целям.