威胁情报信息分享|Kimsuky以社交工程攻击针对智库和新闻媒体

admin 2023年6月9日09:06:59评论37 views字数 1275阅读4分15秒阅读模式

被称为Kimsuky的朝鲜国家级威胁行为者已经被与一场社交工程攻击活动相关联,该活动以专门研究朝鲜事务的专家为目标,目的是窃取Google凭证并传播侦察恶意软件


“此外,Kimsuky的目标还扩展到从NK News窃取订阅凭证,”网络安全公司SentinelOne在与《黑客新闻》分享的一份报告中说。


“为了实现这一目标,该组织发布的电子邮件引诱目标个体在恶意网站nknews[.]pro上登录,该网站假扮成真正的NK News网站。呈现给目标的登录表单旨在捕获输入的凭证。”


NK News成立于2011年,是一家美国的订阅制新闻网站,提供关于朝鲜的新闻和分析。


此项披露在美国和韩国情报机构发布警告之后几天,警告说Kimsuky利用社交工程手段攻击智库、学术界和新闻媒体行业。上周,这个威胁团体被韩国外交部制裁。


Kimsuky自2012年以来就一直活跃,以其鱼叉式网络钓鱼手段和在发送恶意软件之前与目标建立信任和关系的尝试而闻名,这是一个名为ReconShark的侦查工具。


这些活动的最终目标是收集战略情报、地缘政治洞察和访问对朝鲜有价值的敏感信息。


“他们的方法突显了该团体与他们目标的个体建立融洽关系的决心,这可能会提高他们后续恶意活动的成功率,”安全研究员Aleksandar Milenkoski说。


这些发现也跟随着韩国政府的新的揭示,该政府表示有超过130名朝鲜观察者被单独指出,是政府支持的黑客团体策划的网络钓鱼活动的一部分。

威胁情报信息分享|Kimsuky以社交工程攻击针对智库和新闻媒体

此外,由于朝鲜从网络攻击和加密货币盗窃中获得了大部分的外汇收入,代表该政权利益的威胁行为者已经被观察到冒充日本、美国和越南的金融机构和风险投资公司。


网络安全公司Recorded Future将这些活动与一个被跟踪的组织TAG-71联系起来,这是Lazarus的一个子组织,也被称为APT38、BlueNoroff、Nickel Gladstone、Sapphire Sleet、Stardust Chollima和TA444。


这个敌对集团在全球范围内针对加密货币交易所、商业银行和电子商务支付系统进行金融动机的入侵活动方面有着丰富的经验,以非法提取资金供受到制裁的国家使用。


"金融和投资公司及其客户的妥协可能会暴露敏感或机密信息,这可能会导致法律或监管行动,危及即将进行的商业谈判或协议,或暴露对公司的战略投资组合造成损害的信息,"该公司指出。


到目前为止,证据链表明Lazarus Group的动机既有间谍动机,也有金融动机,威胁行为者被指责最近对Atomic Wallet进行黑客攻击,导致价值3500万美元的加密资产被盗,使其成为过去几年被黑客攻击的一长串加密公司的最新一个。


“洗涤被盗加密资产的步骤完全与洗涤Lazarus Group过去实施的黑客攻击所得的步骤相同,”区块链分析公司说。


“被盗资产正在使用特定的服务进行洗钱,包括Sinbad混合器,这些服务也被用来洗涤Lazarus Group过去实施的黑客攻击的收益。”



原文始发于微信公众号(XDsecurity):威胁情报信息分享|Kimsuky以社交工程攻击针对智库和新闻媒体

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年6月9日09:06:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   威胁情报信息分享|Kimsuky以社交工程攻击针对智库和新闻媒体https://cn-sec.com/archives/1789575.html

发表评论

匿名网友 填写信息