Severnokorejska skupina Kimsuky cilja na univerzitetne profesorje s sofisticiranimi phishing napadi
Severnokorejska APT skupina Kimsuky izvaja globalne obveščevalne operacije že od leta 2012. Njihovi cilji vključujejo predvsem Južno Korejo, Združene države Amerike ter Evropo. Skupina začenja svoje operacije z vzpostavljanjem zaupanja prek elektronske pošte in nato dostavi zlonamerne priloge.
Nedavna opozorila NSA in FBI izpostavljajo Kimsukyjevo zlorabo nepravilno konfiguriranih DMARC zapisov za skrivanje phishing poskusov. Napadalci se predstavljajo kot akademiki, novinarji in strokovnjaki za vzhodno Azijo z namenom infiltracije v ciljne organizacije.
Raziskovalci so pred kratkim izkoristili OPSEC napako Kimsukyja ter pridobili občutljive podatke, vključno z izvorno kodo, poverilnicami, dnevniki ter internimi dokumenti skupine.
Analiza podatkov nakazuje, da Kimsuky cilja na univerzitetno osebje za vohunjenje, krajo raziskav in obveščevalnih podatkov, ki koristijo severnokorejskemu Generalnemu obveščevalnemu uradu. To se ujema s Kimsukyjevim zgodovinskim ciljanjem na jedrski, zdravstveni in farmacevtski sektor, kar nakazuje širšo obveščevalno kampanjo za krepitev severnokorejskih znanstvenih sposobnosti.
Kimsuky izkorišča kompromitirane internetne gostitelje, vključno z audko [trgovina], dorray [spletno mesto] in drugimi, kot izhodišča za napade. Na teh ogroženih sistemih uvedejo spremenjeno različico spletne lupine Indrajith Mini Shell 2.0, imenovano “Zeleni dinozaver”.
Spletna lupina, ki je brez nepotrebnih funkcij za izogibanje odkritju, omogoča operaterjem nalaganje, prenašanje, preimenovanje in brisanje datotek. Tako omogoča vzpostavitev phishing spletnih strani.
Operaterji Kimsuky so ustvarili phishing strani s kloniranjem zakonitih univerzitetnih portalov za prijavo, specifično ciljanih na Dongduk, Korejsko in Yonsei univerze ter Naver račune.
Spremenili so klonirane strani za izčrpavanje uporabniških poverilnic z onemogočanjem prvotnega šifriranja gesel in preusmeritvijo poskusov prijave na zlonamerno PHP skripto. Ta zajame uporabniško ime, geslo in podatke o poskusu prijave ter jih pošlje na oddaljeni strežnik za nadaljnjo izrabo.
Igralci groženj so kompromitirali prijavno stran Dongduk University tako, da so obšli standardno šifriranje in preusmerili poskuse prijave na zlonamerno PHP skripto, ki beleži ukradene poverilnice v lokalno datoteko. Napad tako prikazuje neuspešno prijavo ob prvem poskusu in uspešno ob drugem.
Za privabljanje žrtev, skripta preusmeri uspešne poskuse prijave na phishing PDF, gostovan na Google Drive, ki posnema zakonito povabilo.
PDF in z njim povezan Google račun izkazujeta močne povezave z Južno-Severnokorejsko izmenjavo in združenjem za podporo sodelovanja, kar se ujema z nedavnim opozorilom o phishingu s strani Asan Inštituta.
Po navedbah Resilience, Kimsuky phishing kampanja uporablja spremenjeno JavaScript kodo za krajo prijavnih poverilnic za Korejsko univerzo in Yonsei univerzo.
Phishing strani posnemajo zakonite prijavne strani in preusmerjajo žrtve na resnične prijavne strani po pridobitvi poverilnic. Medtem se uporablja phishing orodje, ki ni specifično za cilj, za krajo Naver računov z uporabo ponarejene prijavne strani in pojavnih sporočil.
Kims
