Nordkoreanische Staatshacker setzen auf neue Spionagetaktiken

B2B Cyber Security ShortNews

Beitrag teilen

Erst einmal reden, dann hacken: Die nordkoreanische Hackergruppe TA427 versucht auf recht unspektakuläre Weise Außenpolitikexperten anzusprechen, um deren Standpunkt zu Sanktionen zu erfahren. Mit gefälschten Identitäten werden viele Informationen besorgt.

Proofpoint-Forscher beobachten zahlreiche Hackergruppen, die durch staatliche Stellen gefördert bzw. unterstützt werden. Eine davon ist TA427, auch bekannt als Emerald Sleet, APT43, THALLIUM oder Kimsuky. Dabei handelt es sich um eine mit der Demokratischen Volksrepublik Korea (DPRK bzw. Nordkorea) verbündeten Gruppe, die das Reconnaissance General Bureau unterstützt. Sie ist besonders bekannt für erfolgreiche E-Mail-Phishing-Kampagnen, mit denen Experten ins Visier genommen werden, um außenpolitische Informationen zu gewinnen.

Anzeige

Nordkorea will Experten aushorchen

Seit 2023 hat sich TA427 darauf verlegt, mit unaufdringlichen E-Mails direkt Außenpolitikexperten anzusprechen, um eine Konversation in Gang zu bringen. In diesen E-Mails versuchen die Angreifer mehr über die Meinung zur nuklearen Abrüstung, zur Politik der USA und der Republik Korea sowie zu Sanktionsfragen in Erfahrung zu bringen. In den letzten Monaten hat die Gruppe ihre Vorgehensweise geändert. Im Dezember 2023 begann sie damit, laxe DMARC-Umsetzungen auszunutzen (DMARC: Domain-based Message Authentication, Reporting and Conformance Richtlinien), um verschiedene Identitäten zu fälschen. Im Februar 2024 begann die Gruppe damit, Web Beacons zu verwenden, um Zielprofile zu erstellen.

Die Proofpoint-Experten haben ihre Erkenntnisse in einer umfangreichen Untersuchung veröffentlicht. Die wichtigsten Ergebnissen der Untersuchung haben sie in Punkte zusammengefasst:

  • TA427 verschickt regelmäßig harmlos wirkende E-Mails, um eine Konversation in Gang zu bringen, mit denen langfristig ein Informationsaustausch mit den Zielpersonen der Gruppe etabliert werden soll. Dabei versuchen die Angreifer, mehr über Themen zu erfahren, die für das nordkoreanische Regime von strategischer Bedeutung sind.
  • Neben der Verwendung von speziell erstellten Ködern setzt TA427 in großem Umfang auf gefälschte Identitäten, die mit Denkfabriken und Nichtregierungsorganisationen in Verbindung stehen. Dies soll den E-Mails einen legitimen Anstrich verleihen und die Wahrscheinlichkeit erhöhen, dass die Zielpersonen mit den Angreifern in Kontakt treten.
  • Um sich als die von ihr ausgewählten Personen auszugeben, setzt TA427 eine Reihe von Taktiken ein, darunter DMARC-Missbrauch in Verbindung mit kostenlosen E-Mail-Postfächern, Typosquatting und Spoofing von privaten E-Mail-Konten.
  • TA427 hat auch Web Beacons verwendet, um seine Ziele zunächst ausfindig zu machen und grundlegende Informationen in Erfahrung zu bringen, zum Beispiel, ob ein E-Mail-Konto aktiv ist.

Was die nordkoreanischen Hacker mit ihren gefälschten Identitäten und den Kontakten noch vorhaben, wird die Zeit zeigen.

Mehr bei Proofpoint.com

 


Über Proofpoint

Proofpoint, Inc. ist ein führendes Cybersicherheitsunternehmen. Im Fokus steht für Proofpoint dabei der Schutz der Mitarbeiter. Denn diese bedeuten für ein Unternehmen zugleich das größte Kapital aber auch das größte Risiko. Mit einer integrierten Suite von Cloud-basierten Cybersecurity-Lösungen unterstützt Proofpoint Unternehmen auf der ganzen Welt dabei, gezielte Bedrohungen zu stoppen, ihre Daten zu schützen und IT-Anwender in Unternehmen für Risiken von Cyberangriffen zu sensibilisieren.


 

Passende Artikel zum Thema

Darknet: 15.000 Konfigurationsdateien für FortiGate-Firewalls

In einem Darknet-Forum hat die Hackergruppe "Belsen Group" über 15.000 einzigartige Konfigurationsdateien von FortiGate-Firewalls veröffentlicht. Obwohl die Daten relativ alt ➡ Weiterlesen

Gefahr: Infektion via Outlook ohne Dateiöffnung

Auch das BSI warnt: Durch eine kritische Schwachstelle ist es möglich, dass eine via Outlook empfangene E-Mail mit einem gefährlichen ➡ Weiterlesen

Cyberbedrohungen: Schädliche Dateien um 14 Prozent gestiegen

Auf 2024 zurückblickend, zeigt sich Folgendes: Vor allem Windows-Rechner sind das Ziel von Cyberbedrohungen. Angriffe durch Trojaner stiegen um 33 ➡ Weiterlesen

Hacker sehen KI als neuen Angriffsvektor

Eine neue Umfrage unter Hackern zeigt, dass KI nicht nur Hackern hilft, effizienter zu werden, sondern dass KI selbst „reif ➡ Weiterlesen

KI-gestützte Angriffe: Unternehmen sind ungeschützt

Eine aktuelle Studie hat ergeben, dass 40 Prozent der Unternehmen, die aktuell von KI-gestützten Angriffen betroffen sind, sich nicht ausreichend ➡ Weiterlesen

ePA – Elektronische Patientenakte mit Sicherheitslücken?

Am 15. Januar startete die Testphase der ePA - der elektronischen Patientenakte trotz vorliegender Berichte über mögliche Sicherheitslücken. Es ist ➡ Weiterlesen

FortiOS und FortiProxy: Angriffe auf Zero-Day-Schwachstelle

Das BSI hat bereits die zweithöchste Warnstufe Orange für die aktiv ausgenutzten Schwachstellen in FortiOS und FortiProxy ausgegeben. Die Zero-Day-Schwachstelle ➡ Weiterlesen

Sicherheitsrisiken durch Mitarbeiterverhalten

Eine neue Untersuchung zeigt, dass Unternehmen den Datenzugang von Arbeitnehmern nicht nur verwalten, sondern auch sichern müssen. Der Grund: Viele ➡ Weiterlesen