Een cyber spionage campagne is gericht op de nationale veiligheid denktanks en academische instellingen in de VS in wat wordt beschouwd als een spionage-operatie door een hacken van de groep uit te werken van Noord-Korea.
Een serie van spear-phishing aanvallen met behulp van valse e-mails met kwaadaardige bijlagen pogingen tot het leveren van een nieuwe familie van malware, die onderzoekers in Palo Alto Networks hebben geïdentificeerd en noemde BabyShark. De campagne is gestart in November en actief bleef op zijn minst in het nieuwe jaar.
Onder de bekende doelen die door de onderzoekers zijn van een Amerikaanse universiteit van het plannen van een conferentie rond Noord-Korea denuclearisatie en een research instituut fungeert als een denktank rond de nationale veiligheid.
De phishing e-mails zijn ontworpen om eruit te zien alsof ze zijn verzonden door een security expert in het werken als adviseur voor de nationale veiligheid denkt in de VS en komen met onderwerpen verwijzen naar Noord-koreaanse nucleaire kwesties, evenals de bredere veiligheid onderwerpen.
Terwijl veel van de inhoud gebruikt in de kooiker e-mails is publiekelijk beschikbaar op het internet, zoals de planning van een echte conferentie, de aanvallers ook het gebruik van inhoud dat lijkt niet te worden openbaar. Dit suggereert de mogelijkheid dat de campagne al aangetast door een slachtoffer met toegang tot privé-documenten aan een denktank als onderdeel van de campagne.
ZIE: Wat is een cyberoorlog? Alles wat u moet weten over de angstaanjagende toekomst van digitale conflict
Net als veel van phishing-aanvallen, de campagne moedigt gebruikers inschakelen van macro ‘s, waardoor de Microsoft Visual Basic (VB) op basis van scripts BabyShark malware op afstand starten van de activiteit op Windows-Pc’ s.
Door te communiceren met een command and control-server, BabyShark krijgt een registersleutel die vereist zijn om de persistentie van toegang tot het netwerk en het ophalen van de commando ‘ s van de exploitanten ervan.
Als onderdeel van een intelligentie-het verzamelen van de campagne, het doel van de malware is de bewaking van de geïnfecteerde systeem en het verzamelen van gegevens.
Analyse van BabyShark onthult verbindingen naar andere vermeende Noord-koreaanse hack campagnes Gestolen Potlood en KimJongRAT. BabyShark is ondertekend met hetzelfde gestolen certificaat voor ondertekenen van code gebruikt in de Gestolen Potlood campagne, met de twee vormen van malware, de enige twee bekende om het te gebruiken.
ZIE: 17 tips voor het beschermen van Windows-computers en Macs van ransomware (gratis PDF)
Ondertussen BabyShark en KimJongRAT hetzelfde bestand pad voor het opslaan van de verzamelde informatie en de mensen achter BabyShark lijken te hebben getest voorbeelden van anti-virus detectie naast vers samengesteld monsters van KimJongRAT.
De kooiker bestanden die worden gebruikt in een poging om te leveren KimJongRAT, die ook het volgen van een zeer vergelijkbaar thema aan degene die gebruikt zijn in de BabyShark campagne, die alle betrekking hebben op Noord-Korea, de nucleaire afschrikking en conferenties op het Aziatische zaken.
Dat alles heeft geleid onderzoekers tot de conclusie dat BabyShark is een andere Noord-koreaanse hack — campagne- een poging om een oog te houden op speciaal geselecteerde doelen.
“Goed gemaakt spear phishing e-mails en lokvogels suggereren dat de dreiging acteur is goed op de hoogte van de doelen, en ook nauwgezet-gerelateerde community-evenementen voor het verzamelen van de laatste intelligence,” de onderzoekers gezegd.
LEES MEER OVER CYBER CRIME
De noord-koreaanse hackers zijn het hergebruik van oude code naar de bouw van een nieuwe aanvallenHoe hacktivist-groepen vormen een wereldwijde cybersecurity bedreiging TechRepublicCyber spionage waarschuwing: De meest geavanceerde groepen hackers worden steeds meer ambitieuzeNoord-Korea is het gebruik van Microsoft, Apple, Samsung tech in cyberaanvallen CNETCyber security: Hackers stap uit de schaduw met bigger, bolder aanvallen
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters