Kimsuky продължава да се разраства

Швейцарското  ножче на Ким Чен Ун продължава да разпространява пипалата си по света, показвайки, че не се плаши от изследователи.

В световен мащаб интересът към севернокорейската група за усъвършенствани постоянни заплахи Kimsuky (известна още като APT43) и нейните отличителни белези нарасна. Въпреки това групата не показва никакви признаци на забавяне, въпреки вниманието.

Kimsuky е групировка, свързана с правителството на КНДР, чиято основна цел е шпионаж, често (но не само) в областта на политиката и изследванията на ядрените оръжия. Нейните цели обхващат правителствения, енергийния, фармацевтичния и финансовия сектор, както и други сектори, най-вече в държави, които КНДР смята за заклети врагове: Южна Корея, Япония и САЩ.

Kimsuky в никакъв случай не е нова организация – CISA е проследила дейността на групата чак до 2012 г. Интересът към нея достигна своя връх миналия месец благодарение на доклад на фирмата за киберсигурност Mandiant и на кампания, базирана на разширение за Chrome, която доведе до съвместно предупреждение от германските и корейските власти. В блог, публикуван на 20 април, VirusTotal подчерта скока в търсенията на зловреден софтуер, свързани с Kimsuky, както е показано на графиката по-долу.

Много APT са се разпадали под засиления контрол на изследователите и правоприлагащите органи. Но признаците показват, че Kimsuky е непоколебима.

„Обикновено, когато публикуваме прозрения, те казват: „О, уау, ние сме разкрити. Време е да минем под земята“, казва Майкъл Барнхарт, главен анализатор в Mandiant, за типичните APT.

В случая на Kimsuky обаче „никой не се интересува изобщо. Наблюдаваме нулево забавяне.“

Какво се случва с Kimsuky?

Kimsuky е преминал през много итерации и еволюции, включително и през пълно разделение на две подгрупи. Нейните членове са най-практични в spear phishing-а, като се представят за членове на целеви организации във фишинг имейли – често в продължение на седмици – за да се доближат до чувствителната информация, която търсят.

Зловредният софтуер, който те са внедрили през годините, обаче е далеч по-малко предвидим. Те са демонстрирали еднакви възможности със зловредни разширения за браузъри, троянски коне за отдалечен достъп, модулен шпионски софтуер и други, някои от които комерсиални, а други не.

В публикацията в блога VirusTotal подчертава склонността на APT да доставя зловреден софтуер чрез макроси .docx. В няколко случая обаче групата е използвала CVE-2017-0199, уязвимост с висока степен на сериозност 7,8 за произволно изпълнение на код в Windows и Microsoft Office.

С неотдавнашното повишаване на интереса около Kimsuky VirusTotal разкри, че повечето качени проби идват от Южна Корея и Съединените щати. Това съответства на историята и мотивите на групата. Въпреки това тя има своите пипала и в страни, които не биха могли да се свържат веднага със севернокорейската политика, като Италия и Израел.

Например, когато става въпрос за lookups – лица, които проявяват интерес към образците – вторият по обем идва от Турция. „Това може да подсказва, че Турция е или жертва, или проводник на севернокорейски кибератаки“, се казва в публикацията в блога.

 

Как да се защитим

Тъй като Kimsuky е насочен към организации от различни държави и сектори, кръгът от организации, които трябва да се притесняват от него, е по-голям от повечето APT-та на национални държави.

„Така че това, което проповядваме навсякъде“, казва Барнхарт, „е сила в числата. С всички тези организации по света е важно всички да говорим помежду си. Важно е да си сътрудничим. Никой не трябва да работи в изолация.“

И, подчертава той, тъй като Kimsuky използва отделни лица като проводници за по-големи атаки, всички трябва да са нащрек. „Важно е всички да имаме това базово ниво: не кликайте върху линкове и използвайте многофакторната си автентикация.“

С прости предпазни мерки срещу spear phishing дори севернокорейските хакери могат да бъдат възпрепятствани. „От това, което виждаме, разбираме, че това наистина работи, ако действително отделите време да спазвате киберхигиената си“, отбелязва Барнхарт.

 

 

Източник: DARKReading

Подобни публикации

31 май 2023

Уязвимостта в Barracuda е използвана минимум 7 ...

Фирмата за корпоративна сигурност Barracuda разкри във вторник, че ...

Как да избегнете прегарянето в екипа си по кибе...

Въпреки че кибератаките се увеличават през последните години, една ...
30 май 2023

Бели хакери спечелиха 105 000 долара от Sonos One

Няколко недостатъка в сигурността, открити в безжичните високоговор...

Идва ли Windows 12?

Голямата актуализация на Windows 11 за края на тази година, известн...
30 май 2023

Нов хакерски форум пусна данните на 478 000 чле...

База данни за известния хакерски форум RaidForums е изтекла в интер...
30 май 2023

CosmicEnergy е способен да спре електрическата ...

Руски софтуер, който може да изключва (или включва) промишлени маши...
29 май 2023

AceCryptor: Мощно оръжие на киберпрестъпниците

От 2016 г. насам за опаковане на множество щамове на зловреден софт...
Бъдете социални
Още по темата
31/05/2023

Уязвимостта в Barracuda е и...

Фирмата за корпоративна сигурност Barracuda разкри...
30/05/2023

CosmicEnergy е способен да ...

Руски софтуер, който може да изключва...
27/05/2023

С летния сезон фишинг и BEC...

Фишинг кампаниите, насочени към пътуващи, се...
Последно добавени
31/05/2023

Уязвимостта в Barracuda е и...

Фирмата за корпоративна сигурност Barracuda разкри...
31/05/2023

Как да избегнете прегарянет...

Въпреки че кибератаките се увеличават през...
30/05/2023

Бели хакери спечелиха 105 0...

Няколко недостатъка в сигурността, открити в...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!