SentinelOne: Kimsuky is een gevaar

Redactie WINMAG Pro

SentinelLabs, het researchteam van SentinelOne, heeft samen met NK News, een abonnementsdienst met nieuws en analyses over Noord-Korea, een social engineering-campagne gevolgd, gericht op experts in Noord-Koreaanse zaken uit de niet-overheidssector. Het doel van de campagne is diefstal van e-mailgegevens, levering van verkenningsmalware en diefstal van NK News-abonnementsgegevens. Op basis van de malware, infrastructuur en tactieken die worden gebruikt, is de kans erg groot dat de campagne afkomstig is Kimsuky.

De tactieken van Kimsuky

Kimsuky is een Noord-Koreaanse advanced persistent threat (APT)-groep, wiens activiteiten aansluiten bij de belangen van de Noord-Koreaanse overheid. Het staat bekend om zijn wereldwijde aanvallen op organisaties en individuen. De groep is sowieso al sinds 2012 actief en maakt vaak gebruik van gerichte phishing en social engineering-tactieken om toegang te krijgen tot gevoelige informatie.

Kimsuky legt het eerste contact, bouwt een band op met hun doelwitten en wekt vertrouwen voordat ze kwaadaardige activiteiten uitvoeren, in de hoop dat hun activiteiten hierdoor succesvoller zijn. Als onderdeel van hun strategie deden ze zich voor als Chad O’Carroll, de oprichter van NK News en de bijbehorende holding Korea Risk Group, met behulp van een gecreëerd domein dat sterk lijkt op het legitieme NK News-domein.

Kimsuky

In de eerste e-mail die een doelwit krijgt, wordt gevraagd om een artikel te reviewen waarin de nucleaire dreiging van Noord-Korea wordt geanalyseerd. Als het doelwit reageert, deelt Kimsuky een vervalste Google-document-URL, die omleidt naar een schadelijke website die speciaal is ontwikkeld om Google-informatie te stelen. De website lijkt erg op de echte NK News-site. Een ander doel van Kimsuky is om aanmeldingsgegevens van NK News te stelen. De groep verstuurt ook van een Office-document dat de ReconShark-verkenningsmalware gebruikt.

Blijven monitoren

SentinelLabs blijft de activiteiten van Kimsuky actief volgen. De huidige bevindingen laten zien dat de groep gerichte social engineering-aanvallen gebruikt. Het is belangrijk dat potentiële doelwitten zich bewust worden van en inzicht krijgen in de tactieken van Kimsuky. Oplettendheid en effectieve beveiligingsmaatregelen zijn noodzakelijk om de risico’s te beperken.

Bezoek voor meer achtergrondinformatie en de technische analyse deze Engelstalige blog.

zie ook:

Retailorganisaties zien online verkoopplatformen als gevaar

Onderzoek KnowBe4: 87% van Nederlanders maakt zich zorgen kwaadaardige toepassingen deepfake 

en op Baaz:

Oogappels winnaar award 'beste nederlandse productie'

Broccoli is het allereerste Nederlandse investeringsplatform voor groene aandelen

 

 

Redactie WINMAG Pro
Door: Redactie WINMAG Pro
Redactie

Redactie WINMAG Pro

Redactie