Οι Βορειοκορεάτες hackers Kimsuky στοχεύουν ερευνητικά ινστιτούτα στη Νότια Κορέα μέσω spear-phishing επιθέσεων, με απώτερο στόχο τη διανομή backdoor σε παραβιασμένα συστήματα.
“Ο παράγοντας της απειλής χρησιμοποιεί τελικά ένα backdoor για να κλέψει πληροφορίες και να εκτελέσει εντολές“, ανέφερε το AhnLab Security Emergency Response Center (ASEC) σε πρόσφατη ανάλυση.
Οι επιθέσεις ξεκινούν με ένα phishing email με ένα έγγραφο-δόλωμα, το οποίο είναι στην πραγματικότητα ένα κακόβουλο αρχείο JSE, που περιέχει ένα obfuscated PowerShell script, ένα Base64-encoded payload, και ένα αρχείο PDF.
Δείτε επίσης: Hackers της Βόρειας Κορέας έχουν κλέψει crypto αξίας $ 3 δισεκατ. από το 2017
Το επόμενο στάδιο περιλαμβάνει το άνοιγμα του αρχείου PDF, ενώ το PowerShell script εκτελείται στο παρασκήνιο για την εκκίνηση του backdoor.
Το backdoor των hackers Kimsuky συλλέγει πληροφορίες δικτύου και άλλα σχετικά δεδομένα (δηλαδή όνομα κεντρικού υπολογιστή, όνομα χρήστη και έκδοση λειτουργικού συστήματος) και τα μεταδίδει σε έναν απομακρυσμένο διακομιστή.
Επίσης, είναι σε θέση να εκτελεί εντολές, να εκτελεί πρόσθετα κακόβουλα payloads και να τερματίζει τη λειτουργία του, κάτι που επιτρέπει απομακρυσμένη πρόσβαση στον μολυσμένο κεντρικό υπολογιστή.
Οι Βορειοκορεάτες hackers Kimsuky είναι ενεργοί τουλάχιστον από το 2012. Ξεκίνησαν να στοχεύουν νοτιοκορεατικές κυβερνητικές οντότητες, think tanks και ειδικούς ασφαλείας. Αργότερα επεκτάθηκαν σε οργανισμούς στην Ευρώπη, τη Ρωσία και τις ΗΠΑ.
Δείτε επίσης: Βορειοκορεάτες hackers συνδυάζουν macOS malware τακτικές για να αποφύγουν τον εντοπισμό
Πριν από μερικές ημέρες, το Υπουργείο Οικονομικών των ΗΠΑ επέβαλε κυρώσεις στην ομάδα Kimsuky για συλλογή πληροφοριών για την υποστήριξη των στρατηγικών στόχων της Βόρειας Κορέας.
“Η ομάδα Kimsuky έχει επικεντρώσει τις δραστηριότητές της στη συλλογή πληροφοριών σε θέματα εξωτερικής πολιτικής και εθνικής ασφάλειας που σχετίζονται με την κορεατική χερσόνησο, την πυρηνική πολιτική και τις κυρώσεις“, σημείωσε σε πρόσφατη έκθεση η εταιρεία κυβερνοασφάλειας ThreatMon.
Προστασία από backdoor malware
Οι κύριες μέθοδοι πρόληψης της μόλυνσης από backdoor malware περιλαμβάνουν την ενημέρωση και την εφαρμογή ενημερώσεων λογισμικού. Οι κατασκευαστές λογισμικού συχνά ανακαλύπτουν και διορθώνουν ευπάθειες ώστε να αποτραπεί η εκμετάλλευση των ευπαθειών αυτών. Επίσης, η χρήση ισχυρών κωδικών πρόσβασης και η αλλαγή τους περιοδικά είναι σημαντική για την πρόληψη μιας εισβολής.
Επιπλέον, η εγκατάσταση και η ενημέρωση ενός αξιόπιστου λογισμικού antivirus μπορεί να βοηθήσει στον εντοπισμό και την απομάκρυνση ενός backdoor malware. Αυτά τα προγράμματα είναι σχεδιασμένα για να εντοπίζουν και να αποκλείουν κακόβουλο λογισμικό, συμπεριλαμβανομένου του backdoor.
Δείτε επίσης: Βόρεια Κορέα: Έθεσε κατασκοπευτικό δορυφόρο σε τροχιά
Ακόμα, η προσεκτική περιήγηση στο διαδίκτυο και η αποφυγή ανοίγματος περίεργων συνδέσμων και συνημμένων σε emails μπορεί να βοηθήσει στην πρόληψη της μόλυνσης.
Τέλος, η παρακολούθηση της δραστηριότητας του δικτύου και η χρήση ασφαλών δικτυακών πρακτικών μπορεί να βοηθήσει στην ανίχνευση και πρόληψη του backdoor malware. Οι διαχειριστές δικτύου πρέπει να παρακολουθούν το network traffic για περίεργη δραστηριότητα και να εφαρμόζουν ασφαλείς πολιτικές πρόσβασης και προστασίας.
Πηγή: thehackernews.com
