El actor de amenazas del estado-nación de Corea del Norte conocido como kimsuky se ha vinculado a una campaña de ingeniería social dirigida a expertos en asuntos de Corea del Norte con el objetivo de robar las credenciales de Google y entregar malware de reconocimiento.
“Además, el objetivo de Kimsuky se extiende al robo de credenciales de suscripción de NK News”, firma de ciberseguridad SentinelOne dicho en un informe compartido con The Hacker News.
«Para lograr esto, el grupo distribuye correos electrónicos que atraen a las personas seleccionadas para que inicien sesión en el sitio web malicioso nknews[.]pro, que se hace pasar por el sitio auténtico de NK News. El formulario de inicio de sesión que se presenta al objetivo está diseñado para capturar las credenciales ingresadas».
Noticias NKestablecido en 2011, es un sitio web estadounidense de noticias por suscripción que brinda historias y análisis sobre Corea del Norte.
La divulgación se produce días después de que las agencias de inteligencia de EE. UU. y Corea del Sur emitieran una advertencia sobre el uso de tácticas de ingeniería social por parte de Kimsuky para atacar a los grupos de expertos, la academia y los medios de comunicación. La semana pasada, el grupo de amenazas fue sancionado por el Ministerio de Relaciones Exteriores de Corea del Sur.
Activo desde al menos 2012, Kimsuky es conocido por sus tácticas de phishing selectivo y sus intentos de establecer confianza y comunicación con los objetivos previstos antes de entregar malware, una herramienta de reconocimiento llamada ReconShark.
El objetivo final de las campañas es recopilar inteligencia estratégica, conocimientos geopolíticos y acceder a información confidencial que sea valiosa para Corea del Norte.
«Su enfoque destaca el compromiso del grupo de crear un sentido de compenetración con las personas a las que apuntan, aumentando potencialmente la tasa de éxito de sus actividades maliciosas posteriores», dijo el investigador de seguridad Aleksandar Milenkoski.
Los hallazgos también siguen nuevas revelaciones del gobierno de Corea del Sur que más de 130 observadores de Corea del Norte han sido señalados como parte de una campaña de phishing orquestada por el grupo de piratería respaldado por el gobierno.
Además, dado que Corea del Norte obtiene una parte significativa de sus ingresos en moneda extranjera de los ataques cibernéticos y robos de criptomonedas, se han observado actores de amenazas que operan en nombre de los intereses del régimen. falsificación de instituciones financieras y firmas de capital de riesgo en Japón, EE. UU. y Vietnam.
La empresa de ciberseguridad Recorded Future conectó la actividad con un grupo rastreado como TAG-71, un subgrupo de Lazarus que también se conoce como APT38, BlueNoroff, Nickel Gladstone, Sapphire Sleet, Stardust Chollima y TA444.
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
El colectivo adversario tiene un historial establecido de montaje de campañas de intrusión motivadas financieramente dirigidas a intercambios de criptomonedas, bancos comerciales y sistemas de pago de comercio electrónico en todo el mundo para extraer fondos ilegalmente para el país afectado por las sanciones.
“El compromiso de las firmas financieras y de inversión y sus clientes puede exponer información delicada o confidencial, lo que puede dar lugar a acciones legales o regulatorias, poner en peligro negociaciones o acuerdos comerciales pendientes, o exponer información perjudicial para la cartera de inversiones estratégicas de una empresa”, señaló la empresa.
La cadena de evidencia hasta el momento sugiere que los motivos de Lazarus Group son tanto de espionaje como financieros, con el actor de amenazas culpado por el reciente Truco de billetera atómica eso condujo al robo de activos criptográficos por valor de $ 35 millones, lo que lo convierte en el último de una larga lista de empresas criptográficas que han sido atacadas por piratas informáticos en los últimos años.
«El lavado de los criptoactivos robados sigue una serie de pasos que coinciden exactamente con los empleados para lavar las ganancias de los hackeos anteriores perpetrados por Lazarus Group», la empresa de análisis de blockchain. dicho.
«Los activos robados se están lavando utilizando servicios específicos, incluido el mezclador Sinbad, que también se ha utilizado para lavar las ganancias de los hackeos anteriores perpetrados por el Grupo Lazarus».