Спочатку говорити, потім хакнути: північнокорейська хакерська група TA427 намагається зв’язатися з експертами зовнішньої політики досить невидимим способом, щоб дізнатися їхню позицію щодо санкцій. Багато інформації отримують підробленими особами.
Дослідники Proofpoint спостерігають за численними хакерськими групами, які спонсоруються або підтримуються урядовими установами. Одним з них є TA427, також відомий як Emerald Sleet, APT43, THALLIUM або Kimsuky. Це група, пов’язана з Корейською Народно-Демократичною Республікою (КНДР або Північна Корея), яка підтримує Головне розвідувальне бюро. Він особливо відомий успішними фішинговими кампаніями електронною поштою, націленими на експертів для отримання зовнішньополітичної інформації.
Північна Корея хоче перевірити експертів
З 2023 року TA427 перейшов на використання ненав’язливих електронних листів, щоб безпосередньо звертатися до експертів із зовнішньої політики, щоб почати розмову. У цих електронних листах зловмисники намагаються дізнатися більше про думки щодо ядерного роззброєння, політики США та Кореї та питань санкцій. За останні місяці група змінила свій підхід. У грудні 2023 року він почав використовувати слабку автентифікацію повідомлень на основі домену, звітність і відповідність (DMARC), щоб підробити різні особи. У лютому 2024 року група почала використовувати веб-маяки для створення цільових профілів.
Експерти Proofpoint опублікували свої висновки в масштабному дослідженні. Вони узагальнили найважливіші результати дослідження в пункти:
- TA427 регулярно надсилає на перший погляд нешкідливі електронні листи, щоб розпочати розмову з метою встановлення довгострокового обміну інформацією з цілями групи. Зловмисники намагаються дізнатися більше про теми, які мають стратегічне значення для північнокорейського режиму.
- Окрім використання спеціально створених приманок, TA427 значною мірою покладається на підроблені особи, пов’язані з аналітичними центрами та неурядовими організаціями. Це має на меті надати електронним листам легітимний вигляд і збільшити ймовірність того, що цілі зв’яжуться зі зловмисниками.
- Щоб видати себе за обраних осіб, TA427 використовує різноманітні тактики, включаючи зловживання DMARC у поєднанні з безкоштовними скриньками вхідних повідомлень електронної пошти, друкарські помилки та підробку приватних облікових записів електронної пошти.
- TA427 також використовував веб-маяки, щоб спочатку визначити місцезнаходження своїх цілей і отримати основну інформацію, наприклад, чи активний обліковий запис електронної пошти.
Час покаже, що планують зробити північнокорейські хакери зі своїми підробленими особами та контактами.
Більше на Proofpoint.com
Про Proofpoint Proofpoint, Inc. є провідною компанією з кібербезпеки. У центрі уваги Proofpoint – захист працівників. Оскільки це означає найбільший капітал для компанії, але також і найбільший ризик. Завдяки інтегрованому пакету хмарних рішень кібербезпеки Proofpoint допомагає організаціям у всьому світі зупиняти цілеспрямовані загрози, захищати їхні дані та навчати корпоративних ІТ-користувачів про ризики кібератак.