SEOUL / MÜNCHEN (IT BOLTWISE) – Die nordkoreanische Hackergruppe Kimsuky hat erneut mit einer Reihe von Phishing-Angriffen auf sich aufmerksam gemacht, bei denen sie russische E-Mail-Adressen verwendet, um an Zugangsdaten zu gelangen.
- News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- Neue Meldungen bequem per eMail via Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren!
- RSS-Feed 2.0 von IT Boltwise® abonnieren!
Die nordkoreanische Hackergruppe Kimsuky hat sich auf Phishing-Angriffe spezialisiert, bei denen sie E-Mails von russischen Absenderadressen verschickt, um letztlich Zugangsdaten zu stehlen. Diese Angriffe wurden hauptsächlich über E-Mail-Dienste in Japan und Korea bis Anfang September durchgeführt. Ab Mitte September wurden jedoch auch E-Mails beobachtet, die scheinbar aus Russland stammten. Dabei wird der E-Mail-Dienst von VK, Mail.ru, missbraucht, der fünf verschiedene Alias-Domains unterstützt, darunter mail.ru, internet.ru, bk.ru, inbox.ru und list.ru.
Die südkoreanische Cybersicherheitsfirma Genians hat festgestellt, dass die Kimsuky-Akteure alle genannten Absenderdomains für Phishing-Kampagnen nutzen, die sich als Finanzinstitute und Internetportale wie Naver ausgeben. Andere Phishing-Angriffe beinhalteten das Versenden von Nachrichten, die den MYBOX-Cloud-Speicherdienst von Naver nachahmen und Benutzer dazu verleiten sollen, auf Links zu klicken, indem sie ein falsches Gefühl der Dringlichkeit erzeugen, dass bösartige Dateien in ihren Konten entdeckt wurden und gelöscht werden müssen.
Varianten von MYBOX-Themen-Phishing-E-Mails wurden seit Ende April 2024 aufgezeichnet, wobei die frühen Wellen japanische, südkoreanische und US-Domains für Absenderadressen verwendeten. Während diese Nachrichten angeblich von Domains wie „mmbox[.]ru“ und „ncloud[.]ru“ gesendet wurden, hat eine weitere Analyse ergeben, dass die Bedrohungsakteure einen kompromittierten E-Mail-Server der Evangelia University (evangelia[.]edu) nutzten, um die Nachrichten mit einem PHP-basierten Mailer-Dienst namens Star zu versenden.
Es ist bemerkenswert, dass Kimsukys Einsatz legitimer E-Mail-Tools wie PHPMailer und Star bereits im November 2021 von der Sicherheitsfirma Proofpoint dokumentiert wurde. Das Endziel dieser Angriffe, so Genians, ist der Diebstahl von Zugangsdaten, die dann verwendet werden könnten, um Opferkonten zu kapern und Folgeangriffe gegen andere Mitarbeiter oder Bekannte zu starten.
Im Laufe der Jahre hat sich Kimsuky als geschickt darin erwiesen, E-Mail-orientierte Social-Engineering-Kampagnen durchzuführen, bei denen Techniken eingesetzt werden, um E-Mail-Absender zu fälschen, sodass sie so erscheinen, als kämen sie von vertrauenswürdigen Parteien, wodurch Sicherheitsüberprüfungen umgangen werden. Anfang dieses Jahres rief die US-Regierung den Cyber-Akteur dazu auf, „unsachgemäß konfigurierte DNS-Domain-basierte Message Authentication, Reporting and Conformance (DMARC)-Richtlinien auszunutzen, um Social-Engineering-Versuche zu verschleiern.“
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.