One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8556583 |
| Date de publication | 2024-08-12 21:01:31 (vue: 2024-08-12 21:18:27) |
| Titre | Groupe nord-coréen Kimusky attaquant des professeurs d'université North Korean Kimusky Group Attacking University Professors |
| Texte | #### Géolocations ciblées - Corée ## Instantané Le groupe nord-coréen de l'APT Kimsuky a été observé par les analystes de la résilience pour cibler le personnel de l'université, les chercheurs et les professeurs pour mener un espionnage.Kimsuky est spécialisée dans les campagnes de phishing ciblées, tirant parti des pièces jointes malveillantes dans les e-mails de suivi après avoir établi la confiance par la correspondance par e-mail.Le groupe est actif depuis au moins 2012 et présente un intérêt particulier pour les groupes de réflexion sud-coréens et les entités gouvernementales;Cependant, il cible également les États-Unis, le Royaume-Uni et d'autres pays européens. Le groupe nord-coréen APT Kimsuky est suivi par Microsoft comme [Emerald Sleet] (https://security.microsoft.com/intel-profiles/f1e2144222dcaf4fb337dc703ee4ed596d8ae16f942f442b895752ad9f41dd58e). ## Description Au printemps 2024, la NSA et le FBI ont publié un avis reliant le groupe Kimsuky de la Corée du Nord à l'exploitation des politiques DMARC erronées pour masquer les tentatives d'ingénierie sociale.L'avis a mis en évidence la stratégie de Kimsuky \\ d'identiter les universitaires et les experts pour cibler des entités en Corée du Sud, aux États-Unis et en Europe.En juillet 2024, les analystes de Resilience ont découvert la campagne de phishing de Kimsuky \\ destinée au personnel et aux chercheurs de l'université, volant des recherches précieuses pour North KOrea \'s Reconnaissance General Bureau (RVB).Kimsuky a ciblé le nucléaire, les soins de santé et le r pharmaceutiqueEsearch, se livrant également à la cybercriminalité motivée par la finance pour financer leurs opérations. Kimsuky met en scène ses attaques en utilisant des hôtes Internet compromis.Après avoir accédé, ils déploient une volet en ligne appelée «Green Dinosaur», basée sur l'ancien Indrajith Mini Shell 2.0.Cette webshell permet la manipulation des fichiers et la configuration des sites Web de phishing tout en obtenant son code pour échapper à la détection.Kimsuky télécharge ensuite des pages de phishing imitant des portails de connexion universitaires légitimes, tels que ceux de l'Université Dongduk et de l'Université Korea, pour capturer des informations d'identification.Ils utilisent également une boîte à outils de phishing pour voler les informations d'identification du compte Naver. Il a été observé que Kimsuky utilise une implémentation PHPMailer personnalisée appelée «Sendmail» pour obtenir des cibles pour visiter leurs sites de phishing.Ce Phpmailer a utilisé le compte de messagerie compromis d'un professeur à l'Université nationale de Séoul pour accéder à un serveur SMTP hébergé en Corée du Sud pour le CRM App Dooray.Plusieurs comptes Gmail et Daum ont également été utilisés comme adresses source.Dans un fichier texte de notes écrites par les opérateurs, plusieurs comptes Gmail et DAUM ont été répertoriés avec leur mot de passe, leur e-mail de récupération et les codes de sauvegarde 2FA.Ces comptes de messagerie ont été utilisés pour envoyer des e-mails de phishing aux employés de l'Université Dongduk, de l'Université de Corée, de l'Université Yonsei et d'autres cibles. ## Détections / requêtes de chasse Microsoft Defender pour le point de terminaison détecte l'activité attribuée au grésil émeraude avec l'alerte suivante: - Activité de l'acteur de grésil émeraude détecté Microsoft Defender Antivirus détecte les composants de la menace comme le suivantmalware: - [Trojan: html / kimsuky.da! Mtb] (https://www.microsoft.com/en-us/wdssi/therets/malware-encycopedia-description?name=trojan:html/kimsuky.da!mtb) - [Trojan: win64 / kimsuky! Mclg] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:win64/kimsuky!mclg) - [Trojan: x97m / kimsuky! Ic] (https://www.microsoft.com/en-us/wdsi/atherets/malware-enCyclopedia-Description? Name = Trojan: x97 |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | #### **© 2012 2024 2024** 2fa 365 365/anti abbreviatedmktgpage about academics access access/concept access/overview accessed account accounts active activities activity actor actors actual add additional address addresses advanced advised advisory after agent aimed aitm alert: all also among analysts anomalousactivities anonymizer anti antivirus any app appear apply apt are attachments attacker attackers attacking attacks attacks: attempts attributed authentication authenticator automatically backup based baseline been best block body browsers bureau bypass called campaign campaigns can capture certificate characteristics clients code codes com/en com/intel com/north com/threatintel/apt common complement complementing compliant components compromise compromised conditional conduct confidence consider content continuous continuously control controls conventional cookie copyright correspondence countries credentials crm custom customers cybercrime cyberresilience daum defaults defender defenders deploy description designed despite detect detected detection detections/hunting detects developed device devices dinosaur distribution dmarc dongduk dooray driven during edge effective email emails emerald employees enable enables enabling encyclopedia endpoint enforced engaging engineering ensure entities entities; eop especially espionage essential establish establishing europe european evade evaluate evaluated evaluation even examines example exchange experts exploit:win32/sendmail exploitation fbi fido2 file files financially first follow following forged forgery from fund further gaining gbhackers general geolocations get gmail government granular group group/ harvest has header healthcare high highlighted highly hosted hosts however https://gbhackers https://learn https://security https://www identified identify identity impersonating implement implementation improve including incoming indrajith information ins interest internet invest investigate isp its july keys kimsuky kimusky kingdom korea korean learndoc least legitimate leverage leveraging like linking links listed location login make malicious malware: manipulation mask mclg measure measures mechanism membership message messages methods mfa microsoft mimicking mini misconfigured mitigating mobile monitor more motivated msr mtb multiple name=exploit:win32/sendmail name=trojan:html/kimsuky name=trojan:vba/kimsuky name=trojan:win64/kimsuky name=trojan:x97m/kimsuky national naver new north not notes nsa nuclear number obfuscating observed ocid=magicti office often older one online operations operators organizations originate other others otp pages part particular password permission persistence pharmaceutical phishing phpmailer pillar place policies policy portals posture practices preventing professor professors profiles/f1e214422dcaf4fb337dc703ee4ed596d8ae16f942f442b895752ad9f41dd58e prohibited proper protect protection provider queries reason recommendations reconnaissance recovery references registered related released remains remediation reproduction requests requirements research researchers researchers/ reserved reset resilience revoked rgb rights risk scan security send sender sent seoul seriously server services session sessions set setup several shell should shown sign signals similar since site sites sleet smartscreen smtp snapshot social solution solutions someone somewhere source south specializes specifically spoofed spoofing spring staff stages states status steal stealing stolen strategy such suspicious takes tampering tanks target targeted targeting targets technique technology text than theft themselves then thereof these think those threat threats through time toolkit tracked trojan:html/kimsuky trojan:vba/kimsuky trojan:win64/kimsuky trojan:x97m/kimsuky trust trusted uncovered united university uploads us/defender us/deployedge/microsoft us/entra/fundamentals/security us/entra/identity/conditional us/security/business/siem us/wdsi/threats/malware use used user using utilized valuable value variety various visit visited web webshell websites when |
| Tags | Malware Threat Mobile Medical |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.