Фишинговые атаки Larva-24005: угрозы для исследователей Северной Кореи

Источник: asec.ahnlab.com
Недавно стало известно о новой кибератаке, организованной подгруппой Larva-24005, которая входит в состав поддерживаемой Северной Кореей атакующей группы Kimsuky. Данная группа успешно осуществила взлом сервера в Корее и развернула инфраструктуру фишинговой электронной почты, нацеленную как на местных, так и на японских жертв.
Цели атаки
Larva-24005 нацеливается на:
- Лиц, связанных с Северной Кореей
- Ученых
- Университетских исследователей
Методы кибератак
Фишинговые электронные письма, отправляемые этой группой, замаскированы под:
- Приглашения на собрания Zoom
- Страницы для входа на законные веб-порталы
Первоначальное проникновение осуществляется с помощью уязвимостей в протоколе удаленного рабочего стола (RDP), использующего уязвимости, включая знаменитую уязвимость Bluekeep (CVE-2019-0708). Эта уязвимость затрагивает устаревшие системы Windows и позволяет злоумышленникам удаленно выполнять код.
Инфраструктура атаки
После успешного взлома Larva-24005 развертывает RDPWrap, что позволяет подключаться по протоколу RDP, а также устанавливает кейлоггер собственной разработки для перехвата учетных данных пользователей. Управление фишинговыми операциями осуществляется с помощью XAMPP, который предоставляет все необходимые компоненты для функционирования веб-сервера.
Для отправки фишинговых писем используется PHPMailer, что позволяет злоумышленникам легко создавать и отправлять письма. Зафиксировано, что учетные записи, используемые для отправки таких писем, уже были заблокированы.
Совершенствование методов атаки
Для целевой работы с жертвами из Японии Larva-24005 установил редактор методов ввода данных на японском языке (IME), что подчеркивает усовершенствование их стратегии поиска. Инфраструктура включает заранее разработанные фишинговые страницы, имитирующие законные сервисы, такие как Google, iCloud и Outlook.
Хотя следы этих страниц были обнаружены, было установлено, что они были удалены с сервера. Злоумышленники проводят обширные онлайн-исследования, используя такие браузеры, как Chrome и MS Edge, чтобы собрать информацию о профессорах и организациях, вовлеченных в деятельность в Северной Корее.
Фишинговые тактики
Фишинговые сообщения от Larva-24005 используют:
- Личную информацию жертв
- Интересы целевой аудитории
Одно из замеченных фишинговых писем имитировало приглашение на встречу Zoom, в то время как фактическое соединение велось на сервер C2, а не на законный сайт. Кроме того, злоумышленники применяют такие тактики, как подтверждение получения письма, для оценки взаимодействия жертв с их фишингом.
Эти изощренные фишинговые кампании подчеркивают постоянную стратегию Larva-24005, направленную на использование социальных манипуляций и технических уязвимостей для компрометации целевых пользователей.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



