L’acteur menaçant de l’État-nation nord-coréen connu sous le nom de Kimsuky a été lié à une campagne d’ingénierie sociale ciblant des experts des affaires nord-coréennes dans le but de voler les informations d’identification de Google et de diffuser des logiciels malveillants de reconnaissance.
« En outre, l’objectif de Kimsuky s’étend au vol des identifiants d’abonnement de NK News », a déclaré la société de cybersécurité SentinelOne. a dit dans un rapport partagé avec The Hacker News.
« Pour y parvenir, le groupe distribue des e-mails qui incitent les individus ciblés à se connecter sur le site Web malveillant nknews[.]pro, qui se fait passer pour l’authentique site NK News. Le formulaire de connexion qui est présenté à la cible est conçu pour capturer les informations d’identification saisies. »
Nouvelles de la NKcréé en 2011, est un site Web américain d’actualités par abonnement qui propose des articles et des analyses sur la Corée du Nord.
La divulgation intervient quelques jours après que les agences de renseignement américaines et sud-coréennes ont émis un avertissement sur l’utilisation par Kimsuky de tactiques d’ingénierie sociale pour frapper les groupes de réflexion, les universités et les secteurs des médias. La semaine dernière, le groupe menaçant a été sanctionné par le ministère sud-coréen des Affaires étrangères.
Actif depuis au moins 2012, Kimsuky est connu pour ses tactiques de harponnage et ses tentatives d’établir la confiance et les relations avec les cibles visées avant de diffuser des logiciels malveillants, un outil de reconnaissance appelé ReconShark.
Le but ultime des campagnes est de recueillir des renseignements stratégiques, des informations géopolitiques et d’accéder à des informations sensibles qui ont de la valeur pour la Corée du Nord.
« Leur approche met en évidence l’engagement du groupe à créer un sentiment de relation avec les individus qu’ils ciblent, augmentant potentiellement le taux de réussite de leurs activités malveillantes ultérieures », a déclaré le chercheur en sécurité Aleksandar Milenkoski.
Les conclusions suivent également nouvelles révélations du gouvernement sud-coréen que plus de 130 observateurs nord-coréens ont été pointés du doigt dans le cadre d’une campagne de phishing orchestrée par le groupe de piratage soutenu par le gouvernement.
De plus, la Corée du Nord tirant une part importante de ses revenus en devises étrangères des cyberattaques et des cambriolages de crypto-monnaie, des acteurs de la menace opérant au nom des intérêts du régime ont été observés. usurpation d’institutions financières et des sociétés de capital-risque au Japon, aux États-Unis et au Vietnam.
La société de cybersécurité Recorded Future a connecté l’activité à un groupe suivi sous le nom de TAG-71, un sous-groupe de Lazarus également connu sous le nom d’APT38, BlueNoroff, Nickel Gladstone, Sapphire Sleet, Stardust Chollima et TA444.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
Le collectif contradictoire a une expérience établie dans le montage de campagnes d’intrusion à motivation financière ciblant les échanges de crypto-monnaie, les banques commerciales et les systèmes de paiement de commerce électronique à travers le monde pour extraire illégalement des fonds pour le pays frappé de sanctions.
« La compromission des entreprises financières et d’investissement et de leurs clients peut exposer des informations sensibles ou confidentielles, ce qui peut entraîner des mesures légales ou réglementaires, mettre en péril des négociations ou des accords commerciaux en cours, ou exposer des informations préjudiciables au portefeuille d’investissement stratégique d’une entreprise », a noté la société.
Jusqu’à présent, la chaîne de preuves suggère que les motivations du groupe Lazarus sont à la fois l’espionnage et des motivations financières, avec l’acteur menaçant blâmé pour le récent Piratage du portefeuille atomique qui a conduit au vol d’actifs cryptographiques d’une valeur de 35 millions de dollars, ce qui en fait la dernière d’une longue liste d’entreprises de cryptographie à avoir été piquées par des hacks au cours des dernières années.
« Le blanchiment des actifs cryptographiques volés suit une série d’étapes qui correspondent exactement à celles utilisées pour blanchir le produit des piratages antérieurs perpétrés par le groupe Lazarus », a déclaré la société d’analyse de la blockchain. a dit.
« Les actifs volés sont blanchis à l’aide de services spécifiques, y compris le mélangeur Sinbad, qui ont également été utilisés pour blanchir le produit des piratages antérieurs perpétrés par le groupe Lazarus. »