Nordkoreanische Hackergruppe Kimsuky nutzt russische E-Mail-Adressen für Phishing-Angriffe
       
TopBlogs.de das Original - Blogverzeichnis | Blog Top Liste

SEOUL / MÜNCHEN (IT BOLTWISE) – Die nordkoreanische Hackergruppe Kimsuky hat erneut mit einer Reihe von Phishing-Angriffen auf sich aufmerksam gemacht, bei denen sie russische E-Mail-Adressen verwendet, um an Zugangsdaten zu gelangen.



Die nordkoreanische Hackergruppe Kimsuky hat sich auf Phishing-Angriffe spezialisiert, bei denen sie E-Mails von russischen Absenderadressen verschickt, um letztlich Zugangsdaten zu stehlen. Diese Angriffe wurden hauptsächlich über E-Mail-Dienste in Japan und Korea bis Anfang September durchgeführt. Ab Mitte September wurden jedoch auch E-Mails beobachtet, die scheinbar aus Russland stammten. Dabei wird der E-Mail-Dienst von VK, Mail.ru, missbraucht, der fünf verschiedene Alias-Domains unterstützt, darunter mail.ru, internet.ru, bk.ru, inbox.ru und list.ru.

Die südkoreanische Cybersicherheitsfirma Genians hat festgestellt, dass die Kimsuky-Akteure alle genannten Absenderdomains für Phishing-Kampagnen nutzen, die sich als Finanzinstitute und Internetportale wie Naver ausgeben. Andere Phishing-Angriffe beinhalteten das Versenden von Nachrichten, die den MYBOX-Cloud-Speicherdienst von Naver nachahmen und Benutzer dazu verleiten sollen, auf Links zu klicken, indem sie ein falsches Gefühl der Dringlichkeit erzeugen, dass bösartige Dateien in ihren Konten entdeckt wurden und gelöscht werden müssen.

Varianten von MYBOX-Themen-Phishing-E-Mails wurden seit Ende April 2024 aufgezeichnet, wobei die frühen Wellen japanische, südkoreanische und US-Domains für Absenderadressen verwendeten. Während diese Nachrichten angeblich von Domains wie „mmbox[.]ru“ und „ncloud[.]ru“ gesendet wurden, hat eine weitere Analyse ergeben, dass die Bedrohungsakteure einen kompromittierten E-Mail-Server der Evangelia University (evangelia[.]edu) nutzten, um die Nachrichten mit einem PHP-basierten Mailer-Dienst namens Star zu versenden.

Es ist bemerkenswert, dass Kimsukys Einsatz legitimer E-Mail-Tools wie PHPMailer und Star bereits im November 2021 von der Sicherheitsfirma Proofpoint dokumentiert wurde. Das Endziel dieser Angriffe, so Genians, ist der Diebstahl von Zugangsdaten, die dann verwendet werden könnten, um Opferkonten zu kapern und Folgeangriffe gegen andere Mitarbeiter oder Bekannte zu starten.

Im Laufe der Jahre hat sich Kimsuky als geschickt darin erwiesen, E-Mail-orientierte Social-Engineering-Kampagnen durchzuführen, bei denen Techniken eingesetzt werden, um E-Mail-Absender zu fälschen, sodass sie so erscheinen, als kämen sie von vertrauenswürdigen Parteien, wodurch Sicherheitsüberprüfungen umgangen werden. Anfang dieses Jahres rief die US-Regierung den Cyber-Akteur dazu auf, „unsachgemäß konfigurierte DNS-Domain-basierte Message Authentication, Reporting and Conformance (DMARC)-Richtlinien auszunutzen, um Social-Engineering-Versuche zu verschleiern.“

Nordkoreanische Hackergruppe Kimsuky nutzt russische E-Mail-Adressen für Phishing-Angriffe
Nordkoreanische Hackergruppe Kimsuky nutzt russische E-Mail-Adressen für Phishing-Angriffe (Foto: DALL-E, IT BOLTWISE)
Hinweis: Teile dieses Textes könnten mithilfe Künstlicher Intelligenz generiert worden sein.



Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de
Stichwörter
Alle Märkte in Echtzeit verfolgen - 30 Tage kostenlos testen!


#Abo
LinkedIn
Facebook
Twitter
#Podcast
YouTube
Spotify
Apple

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert



Es werden alle Kommentare moderiert!

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.

Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.

Du willst nichts verpassen?

Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.

151 Leser gerade online auf IT BOLTWISE®