美国和韩国情报机构发布了一份新的警报,警告朝鲜网络行为者利用社会工程战术打击智库、学术界和新闻媒体部门。
这些 "持续的信息收集工作 "被归因于一个被称为Kimsuky的国家支持的集群,该集群还有APT43、ARCHIPELAGO、Black Banshee、Emerald Sleet(以前的Thallium)、Nickel Kimball和Velvet Chollima等名称。
"这些机构说:"朝鲜在很大程度上依赖于从这些鱼叉式网络钓鱼活动中获得的情报。"对目标个人的成功破坏使Kimsuky行动者能够制作更可信和更有效的鱼叉式网络钓鱼电子邮件,可以利用这些电子邮件来对付敏感的、高价值的目标。
Kimsuky指的是朝鲜侦察总局(RGB)中的一个附属机构,众所周知,它收集影响该政权利益的地缘政治事件和谈判的战术情报。据了解,该组织至少从2012年开始活跃。
"国家安全局网络安全主任罗布-乔伊斯说:"这些网络行为者正在战略性地冒充合法来源,收集朝鲜半岛上对朝鲜感兴趣的地缘政治事件、外交政策战略和安全发展的情报。
这包括记者、学术学者、智囊团研究人员和政府官员,这种诡计主要是为了挑出从事朝鲜事务的个人,如外交政策和政治专家。
官员们说,Kimsuky的网络计划的目标是获得非法访问权,以及向朝鲜政府提供被盗数据和有价值的地缘政治洞察力。
据观察,Kimsuky利用开放源码信息来确定潜在的利益目标,并随后通过创建与他们试图冒充的真实个人的电子邮件地址相似的电子邮件地址来制作他们的在线角色,使其看起来更加合法。
采用欺骗性的身份是其他国家支持的团体所采用的策略,并被视为一种获得信任和与受害者建立关系的伎俩。据了解,对手还破坏了被冒充者的电子邮件账户,以编造令人信服的电子邮件信息。
"根据咨询意见,"朝鲜[Democratic People's Republic of Korea]行为者经常使用类似于普通互联网服务和媒体网站的域名来欺骗目标。
"Kimsuky行动者根据他们目标的兴趣定制他们的主题,并将更新他们的内容以反映朝鲜观察者社区中讨论的当前事件。
除了使用多个角色与目标进行沟通外,电子误报还带有带密码保护的恶意文件,这些文件要么直接附上,要么托管在谷歌驱动器或微软OneDrive上。
这些诱饵文件在打开后会敦促收件人启用宏,从而通过BabyShark等恶意软件提供对设备的后门访问。此外,持久性访问的武器是将所有落入受害者收件箱的电子邮件隐秘地自动转发到行为人控制的电子邮件账户。
另一个明显的迹象是使用 "虚假但真实的实际网站、门户网站或移动应用程序 "来获取受害者的登录凭证。
网络安全公司SentinelOne详细介绍了Kimsuky使用ReconShark(BabyShark的升级版)和RandomQuery等定制工具进行侦察和信息渗出的情况。
今年3月早些时候,德国和韩国政府当局对Kimsuky发起的网络攻击敲响了警钟,这些攻击需要使用流氓浏览器扩展来窃取用户的Gmail收件箱。
在发出警报之前,美国财政部还对参与恶意网络活动和旨在支持朝鲜战略优先事项的筹款计划的四个实体和一名个人实施了制裁。
