Güvenlik araştırmacıları, Kuzey Kore hükümeti destekli bilgisayar korsanlarının, ülkenin karar alma sürecine yardımcı olacak stratejik istihbarat toplamak için gazetecileri taklit ettikleri konusunda uyardı.
İŞLERİNDE UZMAN OLANLARI HEDEF ALDI
SentinelLabs araştırmacıları Salı günü yaptıkları açıklamada, Kuzey Kore işlerinde uzmanları hedef alan bir sosyal mühendislik kampanyasını Kimsuky olarak bilinen Kuzey Koreli bir gelişmiş kalıcı tehdit (APT) grubuyla ilişkilendirdiklerini duyurdu.
"Kimsuky" grubunun, 2022'de Güney Koreli eski bakan ve bakan yardımcılarının da aralarında bulunduğu birçok siyasetçinin e-postalarını gizlice izlediği ve kişisel bilgilerini çaldığı bildirildi.
APT43, Thallium ve Black Banshee olarak da bilinen grup en az 2012'den beri faaliyet gösteriyor ve Kuzey Kore rejimi adına hassas bilgiler toplamak için sosyal mühendislik ve hedefli oltalama e-postaları kullanmasıyla biliniyor.
SentinelLabs, Kimsuky'nin NK News'in kurucusu Chad O'Carroll'ı taklit ederek NK News abonelerine sahte bir Google Docs web bağlantısı gönderdiğini ve bu bağlantının kurbanın Google kimlik bilgilerini ele geçirmek için özel olarak hazırlanmış kötü amaçlı bir web sitesine yönlendirdiğini gözlemledi.
SAHTE BAĞLANTI ADRESİ GÖNDERDİLER
Bazı durumlarda, Kimsuky bilgisayar korsanları, bir cihazda hangi algılama mekanizmalarının kullanıldığı ve cihazın kendisi hakkındaki bilgiler gibi bilgileri sızdırabilen ReconShark kötü amaçlı yazılımını çalıştıran silah haline getirilmiş bir Microsoft Office belgesi de gönderdi.
SentinelLabs tarafından gözlemlenen bir başka saldırıda Kimsuky, abonelerden sahte bir NK News abonelik hizmetine giriş yapmalarını isteyen bir e-posta dağıttı.
SentinelLabs'ta kıdemli bir tehdit araştırmacısı olan Aleksandar Milenkoski, kullanıcıların NK News kimlik bilgilerine erişim elde etmenin Kuzey Koreli bilgisayar korsanlarına "uluslararası toplumun Kuzey Kore ile ilgili gelişmeleri nasıl değerlendirdiği ve yorumladığı konusunda değerli bilgiler sağlayacağını ve daha geniş stratejik istihbarat toplama girişimlerine katkıda bulunacağını" yazdı.
KULLANICILARIN GÜVENİNİ KAZANDILAR
Kimsuky'nin ayrıca kötü niyetli faaliyetlerine başlamadan önce hedefleriyle yakınlık kurmak amacıyla kötü amaçlı yazılım içermeyen yasal Google Docs bağlantıları ve Word belgeleri gönderdiği de gözlemlenmiştir.