Il Gruppo di Hacker Kimsuky Adotta il Phishing Senza Malware, Eludendo i Sistemi di Rilevamento

Kimsuky utilizza tattiche di phishing senza malware, servizi di posta elettronica russi e siti convincibili per prendere di mira ricercatori, istituzioni e organizzazioni finanziarie, eludendo il rilevamento.

Ricercatori in Corea del Sud hanno scoperto un cambiamento nelle tattiche del gruppo di hacker nordcoreano Kimsuky, che ha iniziato a utilizzare attacchi di phishing senza malware progettati per eludere i principali sistemi di rilevamento e risposta degli endpoint (EDR), come riportato da Cyber Security News (CSN).

Questo gruppo, attivo da diversi anni, ha preso di mira ricercatori e organizzazioni che si concentrano sulla Corea del Nord. Le sue strategie in continua evoluzione mirano a eludere il rilevamento e aumentare il tasso di successo delle sue campagne.

CSN riporta che un cambiamento significativo nell’approccio di Kimsuky riguarda i suoi metodi di attacco via email. In precedenza, il gruppo si affidava molto ai servizi di posta elettronica giapponesi per le sue campagne di phishing.

Tuttavia, recenti scoperte rivelano una transizione verso i servizi di posta elettronica russi, rendendo più difficile per i destinatari identificare comunicazioni sospette ed evitare potenziali compromissioni, afferma CSN.

Kimsuky ha adottato sempre più attacchi di phishing senza malware, basandosi su email di phishing attentamente create basate su URL che non contengono allegati di malware, rendendole più difficili da rilevare, secondo CSN.

Queste email spesso si fanno passare per entità come servizi di documentazione elettronica, gestori di sicurezza delle email, istituzioni pubbliche e organizzazioni finanziarie.

Le email del gruppo sono altamente sofisticate, incorporando frequentemente temi finanziari familiari per aumentare la loro credibilità e la probabilità di coinvolgimento dell’utente, afferma CSN.

Le relazioni hanno identificato l’uso da parte di Kimsuky di domini provenienti da “MyDomain[.]Korea”, un servizio gratuito di registrazione di domini coreano, per creare siti di phishing convincenti, segnala CSN.

Una cronologia delle attività dettagliata da Genians evidenzia il graduale cambiamento del gruppo nell’uso dei domini, iniziando con i domini giapponesi e statunitensi nell’aprile 2024, passando ai servizi coreani a maggio, e adottando infine domini russi fabbricati a settembre, afferma CSN.

Questi domini russi, collegati a uno strumento di phishing chiamato “star 3.0”, sono registrati per rafforzare le campagne del gruppo. Un file associato a questi attacchi, chiamato “1.doc”, è stato segnalato su VirusTotal, con alcuni servizi anti-malware che lo identificano come collegato a Kimsuky, riporta CSN.

È interessante notare che l’uso del mailer “star 3.0” da parte del gruppo si ricollega a campagne precedenti identificate nel 2021. A quel tempo, il mailer è stato scoperto sul sito web della Evangelia University, un’istituzione statunitense, ed è stato collegato agli attori della minaccia nordcoreana nei rapporti di Proofpoint.

Le tattiche in evoluzione di Kimsuky sottolineano la necessità di vigilanza tra i potenziali obiettivi.

Gli esperti di cybersecurity raccomandano un’attenzione rafforzata verso le comunicazioni sospette, in particolare quelle correlate a questioni finanziarie, e l’adozione di difese avanzate per i punti finali.

Rimanere aggiornati sulle metodologie del gruppo e aggiornare le politiche di sicurezza in risposta alle minacce emergenti sono fondamentali per proteggere le informazioni sensibili e mantenere misure di sicurezza informatica robuste.