In seiner neuesten Untersuchung hat SentinelLabs, die Forschungsabteilung von SentinelOne, eine gezielte Kampagne gegen Informationsdienste sowie Organisationen, die Menschenrechtsaktivisten und Überläufer in Nordkorea unterstützen, beleuchtet. Die Kampagne konzentriert sich auf das Ausspähen von Dateien und das Exfiltrieren von System- und Hardware-Informationen, um die Grundlage für spätere Angriffe zu schaffen. Auf der Grundlage der verwendeten Infrastruktur, der Malware-Verbreitungsmethoden und der Implementierung gehen die Sicherheitsexperten mit hoher Wahrscheinlichkeit davon aus, dass die Kampagne von dem Bedrohungsakteur Kimsuky durchgeführt wurde.
Es handelt sich dabei um eine mutmaßlich nordkoreanische APT-Gruppe (Advanced Persistent Threats), die dafür bekannt ist, weltweit Organisationen und Einzelpersonen anzugreifen. Die Gruppe ist seit mindestens 2012 aktiv und führt regelmäßig gezielte Phishing- und Social-Engineering-Kampagnen durch, um Informationen zu sammeln und sich unbefugt Zugang zu sensiblen Informationen zu verschaffen, die den Interessen der nordkoreanischen Regierung entsprechen. In letzter Zeit hat Kimsuky immer wieder maßgeschneiderte Malware als Teil von Aufklärungskampagnen verteilt, um nachfolgende Angriffe zu ermöglichen. So hat SentinelLabs vor kurzem aufgedeckt, dass die Gruppe ReconShark über makroaktivierte Office-Dokumente verteilt hat. Die aktuellen Entwicklungen deuten auf eine Verlagerung zu einer Variante der RandomQuery-Malware hin, deren einziges Ziel die Exfiltration von Informationen ist.
Technischer Hintergrund
RandomQuery ist eine feste Größe im Arsenal von Kimsuky und kommt in verschiedenen Varianten vor. Die kürzlich entdeckte Kampagne verwendet eine reine VBScript-Implementierung. Die Fähigkeit der Malware, wertvolle Informationen wie Hardware-, Betriebssystem- und Dateidetails zu exfiltrieren, weist auf ihre zentrale Rolle bei den Aufklärungsoperationen hin, die maßgeschneiderte Angriffe erst ermöglichen.
Die in koreanischer Sprache verfassten Phishing-E-Mails fordern beispielsweise Empfänger auf, ein angehängtes Dokument zu lesen, das angeblich von Lee Kwang-baek, dem CEO von Daily NK, verfasst wurde. Daily NK ist ein bekannter südkoreanischer Online-Nachrichtendienst, der unabhängig über Nordkorea berichtet und somit ein ideales Ziel für die Bedrohungsakteure darstellt, die sich als legitim ausgeben wollen. Bei dem angehängten Dokument handelt es sich um eine CHM-Datei, die in einem passwortgeschützten Archiv gespeichert ist. Das Dokument trägt den Titel „Schwierigkeiten bei den Aktivitäten nordkoreanischer Menschenrechtsorganisationen und Maßnahmen zu ihrer Belebung“ und enthält einen Katalog von Problemen, die Menschenrechtsorganisationen betreffen.
Die Bedrohungsakteure haben bei ihrer Domainregistrierung ausgiebig Gebrauch von weniger verbreiteten Top-Level-Domains gemacht. Vorhergegangene Berichte von SentinelLabs über die ReconShark-Aktivitäten von Kimsuky haben mehrere Cluster bösartiger Domains beleuchtet, die sich derselben Technik bedienten. Für die jüngste Kampagne wurde der in Japan ansässige Domain-Registrierungsdienst Onamae, für den primären Kauf bösartiger Domains, genutzt. Die auffällige Häufung von Aktivitäten startete am 5. Mai 2023 und dauert noch an.
Fazit
Die Vorfälle unterstreichen die sich ständig verändernde Landschaft der nordkoreanischen Bedrohungsgruppen, deren Aufgabenbereich nicht nur politische Spionage, sondern auch Sabotage und finanzielle Bedrohungen umfasst. Unternehmen müssen sich unbedingt mit den TTPs vertraut machen, die von mutmaßlich staatlich gesponserten APTs eingesetzt werden, und geeignete Maßnahmen zum Schutz vor solchen Angriffen ergreifen. Der Zusammenhang zwischen den jüngsten böswilligen Aktivitäten und einem breiteren Spektrum von bisher nicht bekannt gewordenen Operationen, die Nordkorea zugeschrieben werden, unterstreicht, wie wichtig es ist, ständig wachsam zu sein und die Zusammenarbeit zu fördern.
Weitere Informationen über die Untersuchung von SentinelLabs finden Sie hier: https://www.sentinelone.com/labs/kimsuky-ongoing-campaign-using-tailored-reconnaissance-toolkit/
Firma zum Thema
Fachartikel
Wie Unternehmen den Kernproblemen des Modern Workplace begegnen können
Angriffe auf Unternehmensdaten: Zwei Drittel aller Endpoints sind betroffen
Wie Sie die Datensicherheitsanforderungen Ihrer Kunden erfüllen
Welche Rolle spielt ein CISO bei einem Cyberangriff?
Hosted in Germany: Warum die deutsche Cloud immer noch die sicherste Wahl ist
Studien
Studie zeigt: Verbraucher fordern mehr Kontrolle über ihre Daten ein
Das Digital Trust-Paradox: Wichtig, aber keine Priorität
NETSCOUT nGenius Enterprise Performance Management erzielt eine Investitionsrendite (ROI) von 234 %
Studie offenbart, wie sich deutsche CISOs gegen Cyber-Kriminelle wehren können
Neue Studie: 35 Prozent der befragten Unternehmen vernachlässigen die Sicherheit beim Datenaustausch
Whitepaper
Zero Friction: die Zukunft der Sicherheit
Bundesverband IT-Sicherheit e.V. (TeleTrusT) veröffentlicht Leitfaden „Cloud Supply Chain Security“
„Security by Design“: Zukunftsfähiges Konzept für Informationssicherheit und Datenschutz im Produktlebenszyklus
19. Deutscher IT-Sicherheitskongress eröffnet – BSI informiert über Chancen und Risiken von KI-Sprachmodellen
