SentinelLabs отслеживает целенаправленную кампанию социальной инженерии против экспертов по делам Северной Кореи из негосударственного сектора. Кампания направлена на кражу учетных данных электронной почты, доставку разведывательных вредоносных программ и кражу учетных данных подписки на NK News. На основании использованного вредоносного ПО, инфраструктуры и тактики SentinelLabs с высокой степенью уверенности считает, что кампания была организована агентом угроз Kimsuky.
В рамках стратегии первоначального контакта группа выдавала себя за Чада О'Кэрролла, основателя NK News и связанной с ним холдинговой компании Korea Risk Group, используя созданный злоумышленниками домен nknews.pro, который очень похож на легитимный домен NK News. В первом письме содержится просьба рассмотреть проект статьи с анализом ядерной угрозы, исходящей от Северной Кореи.
Если цель вступает в разговор, Kimsuky использует эту возможность для доставки поддельного URL-адреса документа Google, который перенаправляет на вредоносный веб-сайт, специально созданный для получения учетных данных Google. Kimsuky также может доставить документ Office, который запускает вредоносную программу ReconShark.
Indicators of Compromise
IPv4
- 162.0.209.27
Domains
- nknews.pro
URLs
- https://staradvertiser.store/piece/ca.php
- https://staradvertiser.store/piece/r.php
- https://www.nknews.pro
- https://www.nknews.pro/config.php
- https://www.nknews.pro/ip/register/
- https://www.nknews.pro/ip/register/login.php
Emails
SHA1
- 4150b40c00d8ab2e960aa059159149af3f9ada09
- 41e39162ae3a6370b1100be2b35bb09e2cbe9782
- 7514fd9e5667fc5085373704fe2ea959258c7595
