Фишинговые атаки Larva-24005: угрозы для исследователей Северной Кореи

Фишинговые атаки Larva-24005: угрозы для исследователей Северной Кореи

Источник: asec.ahnlab.com

Недавно стало известно о новой кибератаке, организованной подгруппой Larva-24005, которая входит в состав поддерживаемой Северной Кореей атакующей группы Kimsuky. Данная группа успешно осуществила взлом сервера в Корее и развернула инфраструктуру фишинговой электронной почты, нацеленную как на местных, так и на японских жертв.

Цели атаки

Larva-24005 нацеливается на:

  • Лиц, связанных с Северной Кореей
  • Ученых
  • Университетских исследователей

Методы кибератак

Фишинговые электронные письма, отправляемые этой группой, замаскированы под:

  • Приглашения на собрания Zoom
  • Страницы для входа на законные веб-порталы

Первоначальное проникновение осуществляется с помощью уязвимостей в протоколе удаленного рабочего стола (RDP), использующего уязвимости, включая знаменитую уязвимость Bluekeep (CVE-2019-0708). Эта уязвимость затрагивает устаревшие системы Windows и позволяет злоумышленникам удаленно выполнять код.

Инфраструктура атаки

После успешного взлома Larva-24005 развертывает RDPWrap, что позволяет подключаться по протоколу RDP, а также устанавливает кейлоггер собственной разработки для перехвата учетных данных пользователей. Управление фишинговыми операциями осуществляется с помощью XAMPP, который предоставляет все необходимые компоненты для функционирования веб-сервера.

Для отправки фишинговых писем используется PHPMailer, что позволяет злоумышленникам легко создавать и отправлять письма. Зафиксировано, что учетные записи, используемые для отправки таких писем, уже были заблокированы.

Совершенствование методов атаки

Для целевой работы с жертвами из Японии Larva-24005 установил редактор методов ввода данных на японском языке (IME), что подчеркивает усовершенствование их стратегии поиска. Инфраструктура включает заранее разработанные фишинговые страницы, имитирующие законные сервисы, такие как Google, iCloud и Outlook.

Хотя следы этих страниц были обнаружены, было установлено, что они были удалены с сервера. Злоумышленники проводят обширные онлайн-исследования, используя такие браузеры, как Chrome и MS Edge, чтобы собрать информацию о профессорах и организациях, вовлеченных в деятельность в Северной Корее.

Фишинговые тактики

Фишинговые сообщения от Larva-24005 используют:

  • Личную информацию жертв
  • Интересы целевой аудитории

Одно из замеченных фишинговых писем имитировало приглашение на встречу Zoom, в то время как фактическое соединение велось на сервер C2, а не на законный сайт. Кроме того, злоумышленники применяют такие тактики, как подтверждение получения письма, для оценки взаимодействия жертв с их фишингом.

Эти изощренные фишинговые кампании подчеркивают постоянную стратегию Larva-24005, направленную на использование социальных манипуляций и технических уязвимостей для компрометации целевых пользователей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: