Северокорейские хакеры атакуют университеты и исследователей
Тайная операция Kimsuky нацелена на интеллектуальную элиту.
Хакерская группа Kimsuky, связанная с Северной Кореей, вновь оказалась в центре внимания после серии атак, направленных на сотрудников университетов, исследователей и профессоров. Эти кибератаки, по данным компании Resilience, преследуют цель сбора разведывательной информации.
По словам специалистов Resilience, активность группы была выявлена в конце июля этого года благодаря ошибке в операционной безопасности, допущенной хакерами. Kimsuky, также известная под именами APT43, ARCHIPELAGO и другими, является одной из многочисленных киберподразделений, работающих под руководством северокорейского правительства и военных структур.
Группа Kimsuky активно использует фишинговые атаки для доставки специализированных инструментов, позволяющих вести разведку, похищать данные и устанавливать постоянный удалённый доступ к заражённым устройствам. Один из характерных признаков этих атак — использование взломанных серверов для развёртывания замаскированной версии веб-шелла Green Dinosaur. Этот инструмент используется для выполнения файловых операций на скомпрометированных устройствах.
Специалисты отмечают, что полученный доступ через Green Dinosaur позволяет загружать фишинговые страницы, которые имитируют легитимные порталы, такие как Naver и университетские сайты, включая Университет Дондук, Корейский университет и Университет Ёнсе. Эти фальшивые страницы созданы для похищения учётных данных пользователей.
После того как жертва вводит свои данные, её перенаправляют на другой сайт, где размещён PDF-документ, якобы представляющий собой приглашение на форум Института политики Асан. Исследователи Resilience также обнаружили, что на фишинговых сайтах Kimsuky используется инструмент для массового сбора учётных данных Naver, который действует по принципу прокси и крадёт куки и пароли посетителей.
Кроме того, в ходе анализа было выявлено использование Kimsuky специально разработанного инструмента PHPMailer под названием SendMail. Этот инструмент применяется для рассылки фишинговых писем от имени учётных записей Gmail и Daum Mail.
Для защиты от подобных атак эксперты рекомендуют включать многофакторную аутентификацию и тщательно проверять URL-адреса перед вводом данных.