
In seiner neuesten Untersuchung hat SentinelLabs, die Forschungsabteilung von SentinelOne, eine gezielte Kampagne gegen Informationsdienste sowie Organisationen, die Menschenrechtsaktivisten und Überläufer in Nordkorea unterstützen, beleuchtet. Die Kampagne konzentriert sich auf das Ausspähen von Dateien und das Exfiltrieren von System- und Hardware-Informationen, um die Grundlage für spätere Angriffe zu schaffen. Auf der Grundlage der verwendeten Infrastruktur, der Malware-Verbreitungsmethoden und der Implementierung gehen die Sicherheitsexperten mit hoher Wahrscheinlichkeit davon aus, dass die Kampagne von dem Bedrohungsakteur Kimsuky durchgeführt wurde.
Es handelt sich dabei um eine mutmaßlich nordkoreanische APT-Gruppe (Advanced Persistent Threats), die dafür bekannt ist, weltweit Organisationen und Einzelpersonen anzugreifen. Die Gruppe ist seit mindestens 2012 aktiv und führt regelmäßig gezielte Phishing- und Social-Engineering-Kampagnen durch, um Informationen zu sammeln und sich unbefugt Zugang zu sensiblen Informationen zu verschaffen, die den Interessen der nordkoreanischen Regierung entsprechen. In letzter Zeit hat Kimsuky immer wieder maßgeschneiderte Malware als Teil von Aufklärungskampagnen verteilt, um nachfolgende Angriffe zu ermöglichen. So hat SentinelLabs vor kurzem aufgedeckt, dass die Gruppe ReconShark über makroaktivierte Office-Dokumente verteilt hat. Die aktuellen Entwicklungen deuten auf eine Verlagerung zu einer Variante der RandomQuery-Malware hin, deren einziges Ziel die Exfiltration von Informationen ist.
Technischer Hintergrund
RandomQuery ist eine feste Größe im Arsenal von Kimsuky und kommt in verschiedenen Varianten vor. Die kürzlich entdeckte Kampagne verwendet eine reine VBScript-Implementierung. Die Fähigkeit der Malware, wertvolle Informationen wie Hardware-, Betriebssystem- und Dateidetails zu exfiltrieren, weist auf ihre zentrale Rolle bei den Aufklärungsoperationen hin, die maßgeschneiderte Angriffe erst ermöglichen.
Die in koreanischer Sprache verfassten Phishing-E-Mails fordern beispielsweise Empfänger auf, ein angehängtes Dokument zu lesen, das angeblich von Lee Kwang-baek, dem CEO von Daily NK, verfasst wurde. Daily NK ist ein bekannter südkoreanischer Online-Nachrichtendienst, der unabhängig über Nordkorea berichtet und somit ein ideales Ziel für die Bedrohungsakteure darstellt, die sich als legitim ausgeben wollen. Bei dem angehängten Dokument handelt es sich um eine CHM-Datei, die in einem passwortgeschützten Archiv gespeichert ist. Das Dokument trägt den Titel „Schwierigkeiten bei den Aktivitäten nordkoreanischer Menschenrechtsorganisationen und Maßnahmen zu ihrer Belebung“ und enthält einen Katalog von Problemen, die Menschenrechtsorganisationen betreffen.
Die Bedrohungsakteure haben bei ihrer Domainregistrierung ausgiebig Gebrauch von weniger verbreiteten Top-Level-Domains gemacht. Vorhergegangene Berichte von SentinelLabs über die ReconShark-Aktivitäten von Kimsuky haben mehrere Cluster bösartiger Domains beleuchtet, die sich derselben Technik bedienten. Für die jüngste Kampagne wurde der in Japan ansässige Domain-Registrierungsdienst Onamae, für den primären Kauf bösartiger Domains, genutzt. Die auffällige Häufung von Aktivitäten startete am 5. Mai 2023 und dauert noch an.
Fazit
Die Vorfälle unterstreichen die sich ständig verändernde Landschaft der nordkoreanischen Bedrohungsgruppen, deren Aufgabenbereich nicht nur politische Spionage, sondern auch Sabotage und finanzielle Bedrohungen umfasst. Unternehmen müssen sich unbedingt mit den TTPs vertraut machen, die von mutmaßlich staatlich gesponserten APTs eingesetzt werden, und geeignete Maßnahmen zum Schutz vor solchen Angriffen ergreifen. Der Zusammenhang zwischen den jüngsten böswilligen Aktivitäten und einem breiteren Spektrum von bisher nicht bekannt gewordenen Operationen, die Nordkorea zugeschrieben werden, unterstreicht, wie wichtig es ist, ständig wachsam zu sein und die Zusammenarbeit zu fördern.
Weitere Informationen über die Untersuchung von SentinelLabs finden Sie hier: https://www.sentinelone.com/labs/kimsuky-ongoing-campaign-using-tailored-reconnaissance-toolkit/
Fachartikel

Zehn Dinge, die Sie gestern hätten tun müssen, um die NIS2-Vorschriften einzuhalten

Pentera API-Sicherheitsautomatisierung: Erweiterte Anwendungsfälle für Cybersicherheit

Rückblick auf CH4TTER: Erkenntnisse ein Jahr nach der Veröffentlichung des SAP Threat Landscape Reports

Sicherung von SAP BTP – Bedrohungsüberwachung: Erkennung unbefugter Änderungen und Anzeichen für Kompromittierung

Was ist Active Directory-Sicherheit?
Studien

DefTech-Startups: Deutschland kann sich derzeit kaum verteidigen

Gartner-Umfrage: 85 % der CEOs geben an, dass Cybersicherheit für das Unternehmenswachstum entscheidend ist

Studie: Mehrheit der beliebten Chrome-Erweiterungen mit riskanten Berechtigungen

Kubernetes etabliert sich in der Wirtschaft – Neue Studie liefert überraschende Details

Studie zu Cyberangriffen auf Versorgungsunternehmen
Whitepaper

FBI: USA verlieren 2024 Rekordbetrag von 16,6 Milliarden US-Dollar durch Cyberkriminalität

EMEA-Region im Fokus: Systemangriffe laut Verizon-Report 2025 verdoppelt

IBM X-Force Threat Index 2025: Groß angelegter Diebstahl von Zugangsdaten eskaliert, Angreifer wenden sich heimtückischeren Taktiken zu

Kuppinger-Cole-Analyse zeigt: CIAM als Schlüsselelement der digitalen Transformation

Smart Security: IT- und Sicherheitsteams kommen langfristig nicht mehr ohne KI aus
Hamsterrad-Rebell

Cybersicherheit im Mittelstand: Kostenfreie Hilfe für Unternehmen

Anmeldeinformationen und credential-basierte Angriffe

Vermeiden Sie, dass unbekannte Apps unnötige Gefahren für Ihre Organisation verursachen

Data Security Posture Management – Warum ist DSPM wichtig?
