Noord-Koreaanse hackers misbruiken Facebook Messenger in gerichte malwarecampagne

De aan Noord-Korea gelinkte hackgroep Kimsuky wordt toegeschreven aan een nieuwe social engineering-aanval waarbij fictieve Facebook-accounts worden ingezet om doelen te bereiken via Messenger en uiteindelijk malware aflevert.

“De bedreigingsacteur heeft een Facebook-account aangemaakt met een valse identiteit, vermomd als een ambtenaar die werkzaam is op het gebied van de Noord-Koreaanse mensenrechten”, zei het Zuid-Koreaanse cyberbeveiligingsbedrijf Genians in een rapport dat vorige week werd gepubliceerd.

De uit meerdere fasen bestaande aanvalscampagne, waarin een legitiem individu wordt nagebootst, is bedoeld om activisten in de Noord-Koreaanse mensenrechten- en anti-Noord-Koreaanse sectoren aan te vallen, aldus het rapport.

De aanpak wijkt af van de typische op e-mail gebaseerde spearphishing-strategie, in die zin dat het gebruik maakt van het sociale-mediaplatform om doelen te benaderen via Facebook Messenger en hen te misleiden om schijnbaar privédocumenten te openen die door de persona zijn geschreven.

De lokdocumenten, gehost op OneDrive, zijn een Microsoft Common Console-document dat zich voordoet als een essay of inhoud gerelateerd aan een trilaterale top tussen Japan, Zuid-Korea en de VS – “My_Essay(prof).msc” of “NZZ_Interview_Kohei Yamamoto. msc” – waarbij de laatste op 5 april 2024 vanuit Japan naar het VirusTotal-platform is geüpload.

Dit vergroot de mogelijkheid dat de campagne zich richt op specifieke mensen in Japan en Zuid-Korea.

Het gebruik van MSC-bestanden om de aanval uit te voeren is een teken dat Kimsuky ongebruikelijke documenttypen gebruikt om onder de radar te blijven. In een verdere poging om de kans op succes van de infectie te vergroten, wordt het bestand vermomd als een onschadelijk Word-bestand met behulp van het pictogram van de tekstverwerker.

Als een slachtoffer het MSC-bestand start en ermee instemt het te openen met de Microsoft Management Console (MMC), krijgt hij of zij een consolescherm te zien met daarin een Word-document dat, wanneer het wordt gestart, de aanvalsreeks activeert.

Hierbij wordt een opdracht uitgevoerd om een ​​verbinding tot stand te brengen met een door de tegenstander bestuurde server (“brandwizer.co(.)in”) om een ​​document weer te geven dat wordt gehost op Google Drive (“Essay on Resolution of Korean Forced Labour Claims.docx”), terwijl aanvullende instructies worden op de achtergrond uitgevoerd om persistentie in te stellen en batterij- en procesinformatie te verzamelen.

De verzamelde informatie wordt vervolgens geëxfiltreerd naar de command-and-control (C2)-server, die ook in staat is om IP-adressen, User-Agent-strings en tijdstempelinformatie uit de HTTP-verzoeken te verzamelen en indien nodig relevante payloads te leveren.

Genians zeiden dat sommige van de tactieken, technieken en procedures (TTP's) die in de campagne zijn aangenomen, overlappen met eerdere Kimsuky-activiteiten waarbij malware zoals ReconShark werd verspreid, die in mei 2023 door SentinelOne werd beschreven.

“In het eerste kwartaal van dit jaar waren spearphishing-aanvallen de meest voorkomende methode van APT-aanvallen die in Zuid-Korea werden gerapporteerd”, aldus het bedrijf. “Hoewel dit niet vaak wordt gemeld, komen er ook geheime aanvallen via sociale media voor.”

“Vanwege hun één-op-één, gepersonaliseerde aard worden ze niet gemakkelijk gedetecteerd door beveiligingstoezicht en worden ze zelden extern gerapporteerd, zelfs als het slachtoffer zich ervan bewust is. Daarom is het erg belangrijk om deze gepersonaliseerde bedreigingen in een vroeg stadium te detecteren. fase.”

Thijs Van der Does