Spear-Phishing durch Kimsuky

Die CSBW warnt vor der Hacker-Gruppierung Kimsuky, die mit gezielten Spear-Phishing-Angriffen ihre Opfer dazu verleiten möchte, Schadsoftware zu installieren oder persönliche Daten preiszugeben.

Die Hacker von Kimsuky planen ihre Spear-Phishing-Angriffe sorgfältig. Sie verwenden dafür E-Mail-Adressen, die denen realer Personen sehr ähnlich sind. Die Mail-Inhalte erscheinen überzeugend und haben einen realistischen Inhalt, der zur Zielperson passt.

In vielen Fällen geben sich die Hacker als Personen aus dem Journalismus, Akademikerkreis oder als Schriftsteller aus. Sie erkundigen sich aus vermeintlichen Recherchegründen nach den aktuellen politischen Ereignissen auf der koreanischen Halbinsel, dem nordkoreanischen Waffenprogramm, den Gesprächen mit den USA, der Haltung Chinas und mehr. Als Vorwand dienen Anfragen, Einladungen zu Interviews, eine laufende Umfrage und Bitten um Berichte oder die Einsicht in Dokumente.

Ziel der Spear-Phishing-Angriffe sind häufig Beschäftigte folgender Institutionen:

• Thinktanks
• Forschungszentren
• akademische Einrichtungen
• Medienorganisationen

Die ersten E-Mails enthalten in der Regel keine Schadsoftware oder Anhänge. Denn sie dienen eher dazu, das Vertrauen der Zielperson zu gewinnen, als eine schnelle Kompromittierung zu erreichen. Wenn die Zielperson nicht auf diese E-Mails reagiert, meldet sich Kimsuky nach ein paar Tagen mit einer weiteren Nachricht. Nach Angaben des FBI können die englischen E-Mails ganze Auszüge aus der früheren Kommunikation des Opfers mit legitimen Kontakten enthalten, die zuvor gestohlen wurden.

Kimsuky ist in erster Linie für Spionageoperationen bekannt. Damit unterstützt die Gruppierung unmittelbar das nordkoreanische Regime und fördert die dortigen Waffenentwicklungsprogramme. Kimsuky hat die Social-Engineering-Techniken in den letzten Jahren stets weiter verfeinert, so dass die Spear-Phishing-Angriffe immer schwieriger zu erkennen sind.

Folgende Vorsichtsmaßnahmen werden empfohlen:

• zum Schutz von Konten sichere Passwörter verwenden
• Multi-Faktor-Authentifizierung (MFA) einführen
• keine Makros für Dokumente in E-Mails aktivieren, die von unbekannten Personen stammen (unabhängig davon, was in der E-Mail behauptet wird)
• Die gleiche Vorsicht ist bei Dokumenten geboten, die von bekannten Cloud-Hosting-Diensten verschickt werden. Denn die Legitimität der Plattformen ist keine Garantie für die Sicherheit dieser Dateien.
• Wenn Sie Zweifel an einer Nachricht haben, die angeblich von einer Mediengruppe oder einer Journalistin oder einem Journalisten stammt, besuchen Sie die offizielle Website dieser Organisation und überprüfen Sie die Gültigkeit der Kontaktinformationen.
• Für den Erstkontakt ist ein Videoanruf empfehlenswert, um jegliche Unsicherheit bezüglich der Identität zu zerstreuen. Erst danach sollte man sich entscheiden, ob die Kommunikation fortgesetzt wird.

Kimsuky ist auch unter folgenden Namen bekannt:

• APT43
• Velvet Chollima
• Black Banshee
• Thallium