Το Computer Emergency Response Team Coordination Center της Ιαπωνίας (JPCERT/CC) προειδοποιεί για επιθέσεις από τους Βορειοκορεάτες hackers «Kimsuky».
Η κυβέρνηση των ΗΠΑ έχει δηλώσει ότι η Kimsuky είναι μια βορειοκορεατική ομάδα APT, που διεξάγει επιθέσεις σε όλο τον κόσμο, για να συγκεντρώσει πληροφορίες για θέματα που ενδιαφέρουν την κυβέρνηση της χώρας.
Οι επιτιθέμενοι χρησιμοποιούν συχνά social engineering και phishing τεχνικές για να αποκτήσουν αρχική πρόσβαση στα δίκτυα. Στη συνέχεια, αναπτύσσουν custom κακόβουλο λογισμικό για να κλέψουν δεδομένα και να διατηρήσουν την πρόσβαση στα δίκτυα.
Δείτε επίσης: Οι Kimsuky hackers χρησιμοποιούν κακόβουλη επέκταση Chrome για κλοπή στοιχείων
Η Ιαπωνία λέει ότι οι επιθέσεις από τους hackers Kimsuky εντοπίστηκαν το Μάρτιο του 2024.
Οι hackers Kimsuky ξεκινούν με phishing επιθέσεις
Οι επιτιθέμενοι ξεκινούν τις επιθέσεις στέλνοντας phishing emails που υποδύονται οργανισμούς ασφάλειας και διπλωματικές οργανώσεις σε στόχους στην Ιαπωνία.
Προσπαθούν να πείσουν τα θύματα να ανοίξουν ένα κακόβουλο συνημμένο ZIP. Το ZIP περιέχει ένα εκτελέσιμο αρχείο, που οδηγεί σε μόλυνση του συστήματος, και δύο έγγραφα-δολώματα. Το όνομα του εκτελέσιμου αρχείου χρησιμοποιεί επίσης πολλά κενά για να εμφανίζεται ως έγγραφο, κρύβοντας το τμήμα “.exe“.
Όταν εκτελείται, το payload κατεβάζει και εκτελεί ένα αρχείο VBS και διαμορφώνει το ‘C:\Users\Public\Pictures\desktop.ini.bak‘ ώστε να ξεκινά αυτόματα μέσω Wscript. Το αρχείο VBS κατεβάζει ένα PowerShell script για τη συλλογή πληροφοριών (π.χ. λίστες διεργασιών, λεπτομέρειες δικτύου, λίστες αρχείων από φακέλους και πληροφορίες λογαριασμού χρήστη). Στη συνέχεια, αυτές οι πληροφορίες αποστέλλονται σε μια διεύθυνση URL που ελέγχουν οι εισβολείς.
Αυτές οι πληροφορίες βοηθούν τους hackers Kimsuky να καταλάβουν εάν η μολυσμένη συσκευή είναι ένα νόμιμο μηχάνημα χρήστη ή ένα περιβάλλον ανάλυσης.
Δείτε επίσης: Οι hackers Kimsuky στοχεύουν χρήστες μέσω Facebook Messenger
Τέλος, δημιουργείται και εκτελείται ένα νέο αρχείο VBS για τη λήψη ενός PowerShell script που καταγράφει τις πληκτρολογήσεις (συμπεριλαμβανομένων κωδικών πρόσβασης) και τις πληροφορίες του προχείρου. Αυτές οι πληροφορίες αποστέλλονται, επίσης, στους εισβολείς.
Λαμβάνοντας υπόψη τις επιθέσεις των hackers Kimsuky στην Ιαπωνία, το CERT της χώρας τονίζει ότι οι οργανισμοί πρέπει να είναι σε επαγρύπνηση έναντι phishing επιθέσεων και αρχείων CHM που περιέχουν εκτελέσιμα scripts σχεδιασμένα να διανέμουν κακόβουλο λογισμικό.
Προστασία από phishing
Οι χρήστες θα πρέπει να είναι προσεκτικοί και δύσπιστοι με email που λαμβάνουν χωρίς να το περιμένουν. Πρέπει να είναι πάντα ενήμεροι για τις τελευταίες τεχνικές phishing και να μάθουν πώς να αναγνωρίζουν τα ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου ή τις απάτες μέσω μηνυμάτων. Καλό είναι να αποφεύγεται το κλικ σε συνδέσμους και συνημμένα, που φαίνονται ύποπτα. Επίσης, δεν πρέπει να δίνονται προσωπικές και οικονομικές πληροφορίες σε τρίτους.
Δείτε επίσης: Η ομάδα Kimsuky αναπτύσσει το νέο Linux backdoor Gomir
Βοηθητική είναι και η χρήση ενός αξιόπιστου λογισμικού ασφαλείας που παρέχει προστασία από κακόβουλο λογισμικό και ιούς. Αυτό μπορεί να βοηθήσει στην ανακάλυψη και την αποφυγή των επιθέσεων phishing.
Έπειτα, οι χρήστες πρέπει να είναι προσεκτικοί με τις εφαρμογές που κατεβάζουν και εγκαθιστούν στις συσκευές τους. Πρέπει να κατεβάζουν εφαρμογές μόνο από αξιόπιστες πηγές και να αποφεύγουν τις εφαρμογές που φαίνονται ύποπτες ή που δεν έχουν καλές κριτικές.
Τέλος, απαραίτητη είναι η χρήση διαφορετικών κωδικών πρόσβασης για διάφορους λογαριασμούς. Μην ξεχνάτε τη διπλή πιστοποίηση όπου είναι διαθέσιμη, για ένα επιπλέον επίπεδο ασφάλειας στους λογαριασμούς σας.
Πηγή: www.bleepingcomputer.com
