Группа хакеров Kimsuky применяет фишинг без использования вредоносного ПО, уклоняясь от систем обнаружения

Kimsuky использует тактику фишинга без вредоносного ПО, российские электронные почтовые сервисы и убедительные сайты для того, чтобы атаковать исследователей, учреждения и финансовые организации, уклоняясь от обнаружения.

Исследователи в Южной Корее обнаружили изменение в тактике северокорейской хакерской группы Kimsuky, которая начала использовать атаки фишинга без использования вредоносного ПО, разработанные для обхода основных систем обнаружения и реагирования на инциденты безопасности (EDR), как сообщает Cyber Security News (CSN).

Эта группа, активная на протяжении нескольких лет, нацеливается на исследователей и организации, которые специализируются на Северной Корее. Её эволюционирующие стратегии направлены на уклонение от обнаружения и повышение эффективности своих кампаний.

CSN сообщает о значительном изменении в подходе Kimsuky, связанном с методами атаки через электронную почту. Ранее группа активно использовала японские почтовые сервисы для своих фишинговых кампаний.

Однако, новые данные показывают переход на российские электронные почтовые сервисы, что усложняет идентификацию подозрительных сообщений и предотвращение возможных угроз для целей, говорит CSN.

Kimsuky все больше использует фишинговые атаки без использования вредоносных программ, полагаясь на тщательно разработанные фишинговые сообщения, основанные на URL, которые не содержат вложений с вредоносными программами, что делает их более трудными для обнаружения, согласно данным CSN.

Эти электронные письма часто выдают себя за такие сущности, как услуги электронных документов, менеджеры безопасности электронной почты, общественные учреждения и финансовые организации.

Электронные письма этой группы очень изощренные, часто используются знакомые финансовые темы для увеличения их достоверности и вероятности участия пользователя, говорит CSN.

Отчеты указывают на использование Kimsuky доменов от «MyDomain[.]Korea», бесплатного корейского сервиса регистрации доменов, для создания убедительных фишинговых сайтов, отмечает CSN.

Хронология действий, подробно описанная Genians, подчеркивает постепенное изменение группой использования доменов, начиная с японских и американских доменов в апреле 2024 года, переходя к корейским сервисам к маю, и в конечном итоге принимая сфабрикованные русские домены к сентябрю, говорит CSN.

Эти русские домены, связанные с инструментом для фишинга под названием «star 3.0», зарегистрированы для усиления кампаний группы. Файл, связанный с этими атаками, именуемый «1.doc», был обнаружен на VirusTotal, некоторые антивирусные службы идентифицировали его как связанный с Kimsuky, сообщает CSN.

Интересно, что использование группой почтовика «star 3.0» возвращает нас к ранее идентифицированным кампаниям 2021 года. В то время почтовик был обнаружен на сайте Университета Евангелия, учреждения со штаб-квартирой в США, и был связан с угрозами от северокорейских актеров в отчетах Proofpoint.

Эволюция тактики Kimsuky подчеркивает необходимость бдительности среди потенциальных целей.

Эксперты в области кибербезопасности рекомендуют усилить внимание к подозрительной корреспонденции, особенно в вопросах, связанных с финансами, а также принять меры по внедрению передовых методов защиты конечных точек.

Оставаться в курсе методов группы и обновлять политику безопасности в ответ на возникающие угрозы — важно для защиты конфиденциальной информации и поддержания надежных мер по кибербезопасности.