Търсене
Close this search box.

Kimsuky продължава да се разраства

Швейцарското  ножче на Ким Чен Ун продължава да разпространява пипалата си по света, показвайки, че не се плаши от изследователи.

В световен мащаб интересът към севернокорейската група за усъвършенствани постоянни заплахи Kimsuky (известна още като APT43) и нейните отличителни белези нарасна. Въпреки това групата не показва никакви признаци на забавяне, въпреки вниманието.

Kimsuky е групировка, свързана с правителството на КНДР, чиято основна цел е шпионаж, често (но не само) в областта на политиката и изследванията на ядрените оръжия. Нейните цели обхващат правителствения, енергийния, фармацевтичния и финансовия сектор, както и други сектори, най-вече в държави, които КНДР смята за заклети врагове: Южна Корея, Япония и САЩ.

Kimsuky в никакъв случай не е нова организация – CISA е проследила дейността на групата чак до 2012 г. Интересът към нея достигна своя връх миналия месец благодарение на доклад на фирмата за киберсигурност Mandiant и на кампания, базирана на разширение за Chrome, която доведе до съвместно предупреждение от германските и корейските власти. В блог, публикуван на 20 април, VirusTotal подчерта скока в търсенията на зловреден софтуер, свързани с Kimsuky, както е показано на графиката по-долу.

Много APT са се разпадали под засиления контрол на изследователите и правоприлагащите органи. Но признаците показват, че Kimsuky е непоколебима.

„Обикновено, когато публикуваме прозрения, те казват: „О, уау, ние сме разкрити. Време е да минем под земята“, казва Майкъл Барнхарт, главен анализатор в Mandiant, за типичните APT.

В случая на Kimsuky обаче „никой не се интересува изобщо. Наблюдаваме нулево забавяне.“

Какво се случва с Kimsuky?

Kimsuky е преминал през много итерации и еволюции, включително и през пълно разделение на две подгрупи. Нейните членове са най-практични в spear phishing-а, като се представят за членове на целеви организации във фишинг имейли – често в продължение на седмици – за да се доближат до чувствителната информация, която търсят.

Зловредният софтуер, който те са внедрили през годините, обаче е далеч по-малко предвидим. Те са демонстрирали еднакви възможности със зловредни разширения за браузъри, троянски коне за отдалечен достъп, модулен шпионски софтуер и други, някои от които комерсиални, а други не.

В публикацията в блога VirusTotal подчертава склонността на APT да доставя зловреден софтуер чрез макроси .docx. В няколко случая обаче групата е използвала CVE-2017-0199, уязвимост с висока степен на сериозност 7,8 за произволно изпълнение на код в Windows и Microsoft Office.

С неотдавнашното повишаване на интереса около Kimsuky VirusTotal разкри, че повечето качени проби идват от Южна Корея и Съединените щати. Това съответства на историята и мотивите на групата. Въпреки това тя има своите пипала и в страни, които не биха могли да се свържат веднага със севернокорейската политика, като Италия и Израел.

Например, когато става въпрос за lookups – лица, които проявяват интерес към образците – вторият по обем идва от Турция. „Това може да подсказва, че Турция е или жертва, или проводник на севернокорейски кибератаки“, се казва в публикацията в блога.

 

Как да се защитим

Тъй като Kimsuky е насочен към организации от различни държави и сектори, кръгът от организации, които трябва да се притесняват от него, е по-голям от повечето APT-та на национални държави.

„Така че това, което проповядваме навсякъде“, казва Барнхарт, „е сила в числата. С всички тези организации по света е важно всички да говорим помежду си. Важно е да си сътрудничим. Никой не трябва да работи в изолация.“

И, подчертава той, тъй като Kimsuky използва отделни лица като проводници за по-големи атаки, всички трябва да са нащрек. „Важно е всички да имаме това базово ниво: не кликайте върху линкове и използвайте многофакторната си автентикация.“

С прости предпазни мерки срещу spear phishing дори севернокорейските хакери могат да бъдат възпрепятствани. „От това, което виждаме, разбираме, че това наистина работи, ако действително отделите време да спазвате киберхигиената си“, отбелязва Барнхарт.

 

 

Източник: DARKReading

Подобни публикации

6 декември 2023

Austal USA потвърждава кибератака след изтичане...

Austal USA, корабостроителна компания и изпълнител на Министерствот...
6 декември 2023

Tipalti: няма пробив на рансъмуер, няма заплаха...

Противно на твърденията, съобщени от известната група BlackCat/ALPH...
6 декември 2023

Хакери са нарушили медицинските данни на израе...

Хакерска група твърди, че е откраднала 500 GB медицински данни от м...
6 декември 2023

Evil Twin - какво е и как да се предпазим

Използването на обществени Wi-Fi мрежи може да създаде значителни р...
5 декември 2023

СМС измамите - как да се предпазим

Получавали ли сте някога нежелано текстово съобщение, което обещава...
4 декември 2023

Ирански хакери превземат контролери на водни съ...

Критичната инфраструктура в няколко американски щата може да е била...
4 декември 2023

Рансъмуерът е безмилостен: какво можете да напр...

Не само, че броят на рансъмуерите се увеличава, но този вид зловред...
3 декември 2023

Свалянето на Qakbot: Смекчаване на последиците ...

Министерството на правосъдието на САЩ и ФБР наскоро си сътрудничиха...
Бъдете социални
Още по темата
06/12/2023

Austal USA потвърждава кибе...

Austal USA, корабостроителна компания и изпълнител...
06/12/2023

Tipalti: няма пробив на ран...

Противно на твърденията, съобщени от известната...
06/12/2023

Хакери са нарушили медицин...

Хакерска група твърди, че е откраднала...
Последно добавени
06/12/2023

Austal USA потвърждава кибе...

Austal USA, корабостроителна компания и изпълнител...
06/12/2023

Tipalti: няма пробив на ран...

Противно на твърденията, съобщени от известната...
06/12/2023

Хакери са нарушили медицин...

Хакерска група твърди, че е откраднала...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!