En cyber-spionage kampagne er målrettet mod den nationale sikkerhed tænketanke og ikke-akademiske institutioner i USA, hvad er menes at være en indsamling drift af en ubehagelig gruppe, der arbejder ud af Nordkorea.
En serie af spyd-phishing-angreb ved hjælp af falske e-mails med skadelige vedhæftede filer forsøg på at levere en ny familie af malware, som forskere ved Palo Alto Networks har identificeret og døbt BabyShark. Kampagnen startede i November og forblev aktive i det mindste ind i det nye år.
Blandt de kendte mål identificeret af forskere er en Amerikansk universitet, der planlægger en konference omkring Nordkorea denuclearization og en research institute, der tjener som en tænketank omkring den nationale sikkerhed.
Phishing e-mails er designet til at se ud, som om de har fået tilsendt af en sikkerhedsekspert, der arbejder som konsulent for den nationale sikkerhed tænker over OS, og komme med emner, henvisninger nordkoreanske nukleare spørgsmål, samt bredere sikkerhedspolitiske emner.
Mens meget af det indhold, der anvendes i den lokkedue, e-mails, der er offentligt tilgængelige på internettet, sådan som den tidsplan, der af en reel konference, angriberne også bruge indhold, der ikke ser ud til at være offentlige. Dette antyder muligheden, at kampagnen har allerede kompromitteret et offer med adgang til private dokumenter på en tænketank som en del af kampagnen.
SE: Hvad er cyberkrig? Alt, hvad du behøver at vide om den skræmmende fremtidens digitale konflikt
Ligesom mange phishing-angreb, en kampagne, der opfordrer brugerne til at aktivere makroer, så Microsoft Visual Basic (VB)-script-baseret BabyShark malware til at fjernstyre indlede aktivitet på Windows-Pc ‘ er.
Ved at kommunikere med en kommando og kontrol-server, BabyShark får en nøgle i registreringsdatabasen, der kræves for at opretholde vedholdenhed adgang på nettet og hente kommandoer fra dens aktører.
Som en del af en indsamling af efterretninger kampagne, den mål af malware til at overvåge det inficerede system og indsamle data.
Analyse af BabyShark afslører forbindelser til andre formodede nordkoreanske hacking kampagner Stjålet Blyant og KimJongRAT. BabyShark er undertegnet med de samme stjålet code signing certifikat, der anvendes i den Stjålne Blyant kampagne, med to former for malware den kun to er kendt for at bruge det.
SE: 17 tips til at beskytte computere med Windows og Mac-computere fra ransomware (gratis PDF)
I mellemtiden, BabyShark og KimJongRAT bruger den samme fil sti til opbevaring af indsamlede oplysninger, og dem, der står bag BabyShark synes at have testet prøver af anti-virus detection samt frisk indsamlet prøver af KimJongRAT.
Decoy filer, der bruges i et forsøg på at levere KimJongRAT, som også følger en meget lignende tema til dem, der anvendes i BabyShark kampagne, kan alle forholde sig til Nordkorea, nuklear afskrækkelse og konferencer på de Asiatiske anliggender.
Alle, der har ført forskerne til den konklusion, at BabyShark er en anden nordkoreansk hacking kampagne, der forsøger at holde et vågent øje på særligt udvalgte mål.
“Godt udformet spear phishing e-mails og lokkefugle tyder på, at truslen skuespiller er godt klar over mål, og også overvåger nøje relateret lokale arrangementer for at samle den nyeste intelligens,” siger forskerne.
LÆS MERE OM IT-KRIMINALITET
Nordkoreas hackere for igen at bruge den gamle kode for at bygge nye angrebHvordan hacktivist grupper udgør en global internetsikkerhed trussel TechRepublicCyber spionage advarsel: Den mest avancerede grupper af hackere bliver mere ambitiøseNordkorea er ved hjælp af Microsoft, Apple, Samsung tech i cyberangreb CNETCyber-sikkerhed: Hackere skridt ud af skyggerne med større, mere dristige angreb
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre