close
close

first Drop

Com TW NOw News 2024

Universitaire professoren doelwit van Noord-Koreaanse cyber-spionagegroep
news

Universitaire professoren doelwit van Noord-Koreaanse cyber-spionagegroep

08 aug. 2024Ravie LakshmananCyberaanval / Cyberspionage

Universitaire professoren doelwit van Noord-Koreaanse cyber-spionagegroep

De aan Noord-Korea gelinkte dreigingsactor Kimsuky wordt in verband gebracht met een nieuwe reeks aanvallen die gericht zijn op universiteitsmedewerkers, onderzoekers en professoren met als doel inlichtingen te verzamelen.

Cybersecuritybedrijf Resilience meldde dat het de activiteit eind juli 2024 ontdekte, nadat het een OPSEC-fout (Operational Security) had opgemerkt van de hackers.

Kimsuky, ook bekend onder de namen APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail en Velvet Chollima, is slechts een van de vele offensieve cyberteams die onder leiding van de Noord-Koreaanse regering en het leger opereren.

Cyberbeveiliging

Het is ook erg actief en maakt vaak gebruik van spear-phishingcampagnes als uitgangspunt om een ​​steeds groter wordende set aan aangepaste hulpmiddelen te leveren waarmee verkenningen kunnen worden uitgevoerd, gegevens kunnen worden gestolen en permanente externe toegang tot geïnfecteerde hosts kan worden verkregen.

De aanvallen worden ook gekenmerkt door het gebruik van gecompromitteerde hosts als staging-infrastructuur om een ​​verduisterde versie van de Green Dinosaur web shell te implementeren, die vervolgens wordt gebruikt om bestandsbewerkingen uit te voeren. Kimuksy’s gebruik van de web shell werd eerder benadrukt door beveiligingsonderzoeker blackorbird in mei 2024.

De toegang die Green Dinosaur biedt, wordt vervolgens misbruikt om vooraf gebouwde phishingpagina’s te uploaden. Deze zijn ontworpen om legitieme inlogportals voor Naver en verschillende universiteiten, zoals Dongduk University, Korea University en Yonsei University, na te bootsen. Het doel is om hun inloggegevens te bemachtigen.

Vervolgens worden de slachtoffers doorgestuurd naar een andere site die verwijst naar een PDF-document op Google Drive. Dit document zou een uitnodiging zijn voor het augustusforum van het Asan Institute for Policy Studies.

“Bovendien is er op de phishingsites van Kimsuky een niet-doelgerichte phishingtoolkit om Naver-accounts te verzamelen”, aldus onderzoekers van Resilience.

Cyberbeveiliging

“Deze toolkit is een rudimentaire proxy, vergelijkbaar met Evilginx, waarmee cookies en inloggegevens van bezoekers kunnen worden gestolen. Ook worden pop-ups getoond waarin gebruikers wordt verteld dat ze opnieuw moeten inloggen omdat de communicatie met de server is verstoord.”

De analyse heeft ook licht geworpen op een aangepaste PHPMailer-tool die door Kimsuky wordt gebruikt, genaamd SendMail. Deze tool wordt gebruikt om phishing-e-mails te versturen naar doelwitten die gebruikmaken van Gmail- en Daum Mail-accounts.

Om deze bedreiging tegen te gaan, wordt gebruikers aangeraden phishingbestendige multi-factor authenticatie (MFA) in te schakelen en de URL’s nauwkeurig te controleren voordat ze inloggen.

Vond u dit artikel interessant? Volg ons op Twitter en LinkedIn om meer exclusieve content te lezen die wij plaatsen.