Търсене
Close this search box.

Швейцарското  ножче на Ким Чен Ун продължава да разпространява пипалата си по света, показвайки, че не се плаши от изследователи.

В световен мащаб интересът към севернокорейската група за усъвършенствани постоянни заплахи Kimsuky (известна още като APT43) и нейните отличителни белези нарасна. Въпреки това групата не показва никакви признаци на забавяне, въпреки вниманието.

Kimsuky е групировка, свързана с правителството на КНДР, чиято основна цел е шпионаж, често (но не само) в областта на политиката и изследванията на ядрените оръжия. Нейните цели обхващат правителствения, енергийния, фармацевтичния и финансовия сектор, както и други сектори, най-вече в държави, които КНДР смята за заклети врагове: Южна Корея, Япония и САЩ.

Kimsuky в никакъв случай не е нова организация – CISA е проследила дейността на групата чак до 2012 г. Интересът към нея достигна своя връх миналия месец благодарение на доклад на фирмата за киберсигурност Mandiant и на кампания, базирана на разширение за Chrome, която доведе до съвместно предупреждение от германските и корейските власти. В блог, публикуван на 20 април, VirusTotal подчерта скока в търсенията на зловреден софтуер, свързани с Kimsuky, както е показано на графиката по-долу.

Много APT са се разпадали под засиления контрол на изследователите и правоприлагащите органи. Но признаците показват, че Kimsuky е непоколебима.

„Обикновено, когато публикуваме прозрения, те казват: „О, уау, ние сме разкрити. Време е да минем под земята“, казва Майкъл Барнхарт, главен анализатор в Mandiant, за типичните APT.

В случая на Kimsuky обаче „никой не се интересува изобщо. Наблюдаваме нулево забавяне.“

Какво се случва с Kimsuky?

Kimsuky е преминал през много итерации и еволюции, включително и през пълно разделение на две подгрупи. Нейните членове са най-практични в spear phishing-а, като се представят за членове на целеви организации във фишинг имейли – често в продължение на седмици – за да се доближат до чувствителната информация, която търсят.

Зловредният софтуер, който те са внедрили през годините, обаче е далеч по-малко предвидим. Те са демонстрирали еднакви възможности със зловредни разширения за браузъри, троянски коне за отдалечен достъп, модулен шпионски софтуер и други, някои от които комерсиални, а други не.

В публикацията в блога VirusTotal подчертава склонността на APT да доставя зловреден софтуер чрез макроси .docx. В няколко случая обаче групата е използвала CVE-2017-0199, уязвимост с висока степен на сериозност 7,8 за произволно изпълнение на код в Windows и Microsoft Office.

С неотдавнашното повишаване на интереса около Kimsuky VirusTotal разкри, че повечето качени проби идват от Южна Корея и Съединените щати. Това съответства на историята и мотивите на групата. Въпреки това тя има своите пипала и в страни, които не биха могли да се свържат веднага със севернокорейската политика, като Италия и Израел.

Например, когато става въпрос за lookups – лица, които проявяват интерес към образците – вторият по обем идва от Турция. „Това може да подсказва, че Турция е или жертва, или проводник на севернокорейски кибератаки“, се казва в публикацията в блога.

 

Как да се защитим

Тъй като Kimsuky е насочен към организации от различни държави и сектори, кръгът от организации, които трябва да се притесняват от него, е по-голям от повечето APT-та на национални държави.

„Така че това, което проповядваме навсякъде“, казва Барнхарт, „е сила в числата. С всички тези организации по света е важно всички да говорим помежду си. Важно е да си сътрудничим. Никой не трябва да работи в изолация.“

И, подчертава той, тъй като Kimsuky използва отделни лица като проводници за по-големи атаки, всички трябва да са нащрек. „Важно е всички да имаме това базово ниво: не кликайте върху линкове и използвайте многофакторната си автентикация.“

С прости предпазни мерки срещу spear phishing дори севернокорейските хакери могат да бъдат възпрепятствани. „От това, което виждаме, разбираме, че това наистина работи, ако действително отделите време да спазвате киберхигиената си“, отбелязва Барнхарт.

 

 

Източник: DARKReading

Подобни публикации

4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
3 октомври 2024

Пробив с нулев ден в Rackspace Sparks Vendor B...

Корпоративният хост за облачни услуги Rackspace е бил хакнат чрез н...
3 октомври 2024

Рекордна DDoS атака достигна 3,8 Tbps и 2,14 м...

Фирмата за уеб производителност и сигурност Cloudflare наскоро смек...
3 октомври 2024

Microsoft представя Copilot Vision, но набляга ...

Във вторник Microsoft представи нов инструмент за анализ на уеб съд...
Бъдете социални
Още по темата
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
03/10/2024

Криптопортфейли, насочени ч...

Потребителите на популярни портфейли за криптовалута...
03/10/2024

Пробив с нулев ден в Racks...

Корпоративният хост за облачни услуги Rackspace...
Последно добавени
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
04/10/2024

Холандското правителство об...

Министърът на правосъдието заяви пред депутатите,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!