En it-spionage är en kampanj som riktar sig nationella säkerhet tankesmedjor och akademiska institutioner i USA i vad som tros vara ett underrättelse-verksamhet för drift av en hacka grupp som arbetar utanför Nordkorea.
En serie av spear-phishing-attacker med hjälp av falska e-postmeddelanden med skadliga bifogade filer försök att leverera en ny familj av skadlig kod, som forskare på Palo Alto Networks har identifierat och dubbade BabyShark. Kampanjen startade i November och var aktiv minst i det nya året.
Bland de kända mål som identifierats av forskare vid ett Amerikanskt universitet planerar en konferens kring Nordkorea-årsdagen och ett forskningsinstitut som fungerar som en tankesmedja kring den nationella säkerheten.
Phishing e-post är utformad för att se ut som om de har skickats av en säkerhetsexpert som arbetar som konsult mot den nationella säkerheten och tänker över OSS och komma med frågor och referera till nordkoreas nukleära frågor, samt större säkerhet ämnen.
Även om mycket av innehållet som används i lockbete e-post är tillgängliga för allmänheten på internet, såsom schemat av en riktig konferens, anfallare också använda innehåll som inte verkar vara offentlig. Detta tyder på möjligheten att kampanjen har redan kompromissat ett offer med tillgång till privata dokument på en tankesmedja som en del av kampanjen.
SE: Vad är cyberkrig? Allt du behöver veta om den skrämmande framtiden för digital konflikt
Som många phishing-attacker, den kampanj som uppmuntrar användare att aktivera makron, vilket gör att Microsoft Visual Basic (VB) script-baserade BabyShark skadlig kod på distans initiera aktivitet på Windows-Datorer.
Genom att kommunicera med ett kommando och kontroll server, BabyShark av en registernyckel som krävs för att upprätthålla uthållighet tillgång på nätverk och hämta kommandon från dess aktörer.
Som en del av en underrättelseverksamhet kampanj, mål för skadlig kod är att övervaka den infekterade systemet och samla in data.
Analys av BabyShark avslöjar anslutningar till andra misstänkta nordkoreanska hacka kampanjer Stulna Penna och KimJongRAT. BabyShark är inloggad med samma stulna kodsigneringscertifikat som används i den Stulna Penna kampanj, med två former av skadlig kod som endast två kända för att använda det.
SE: 17 tips för att skydda Windows-datorer och Mac-datorer från ransomware (gratis PDF)
Under tiden, BabyShark och KimJongRAT använda samma sökväg för att lagra information som samlas in och de som står bakom BabyShark verkar ha testat prover av anti-virus upptäckt tillsammans med nyligen sammanställt prover av KimJongRAT.
Figuranten filer som används i ett försök att leverera KimJongRAT, som också följer ett liknande tema de som används i BabyShark kampanj, alla kan relatera till Nordkorea, nukleär avskräckning och konferenser på Asiatiska affärer.
Alla som har lett till att forskare till slutsatsen att BabyShark är en annan nordkoreanska hacka kampanj — en som försöker att hålla ett vakande öga på speciellt utvalda mål.
“Well-crafted spear phishing e-post och lockbete tyder på att hotet skådespelare är väl medvetna om målen, och också noga relaterade evenemang för att samla in de senaste intelligens,” forskarna säger.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Nordkorea är hackare är att återanvända gamla koden för att bygga nya attackerHur hacktivist grupper utgör en global it hot TechRepublicIt-spionage varning: Den mest avancerade dataintrång grupper blir mer ambitiösNordkorea använder Microsoft, Apple, Samsung tech i it-angrepp CNETIt-säkerhet: Hackare steg ut ur skuggorna med större, djärvare attacker
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter