Kimsuky
Kimsuky wird der nordkoreanischen Regierung zugeordnet und ist vor allem für ihre Cyberspionageaktivitäten bekannt. Die Gruppierung sammelt Informationen, die für die nordkoreanische politische und militärische Führung von strategischem Interesse sind.
Akteur
- Advanced Persistent Threat (APT)
- Seit 2013 aktiv
- Herkunft: Nordkorea
- Staatlicher Akteur
- Alternative Namen:
- Stolen Pencil
- Thallium
- Black Banshee
- Velvet Chollima
Eingesetzte Malware
Die eingesetzte Malware wird an die jeweilige Kamapgne angepasst.
Angriffsmethoden
Kimsuky setzt eine Vielzahl von Techniken ein, darunter Spear-Phishing-Kampagnen, Social Engineering, das Ausnutzen von Software-Schwachstellen und maßgeschneiderte Malware. Die Gruppierung verwendet auch gefälschte Accounts in sozialen Medien, um an vertrauliche Informationen ihrer Opfer zu gelangen.
Auszug aus Wissensdatenbank MITRE ATT&CK®:
- T1583 Use normal blogs as waypoints
- T1566, T1566.001 Distribution of malware as attachments to spear phishing emails
- T1547 Maintain persistence through registry editing, use Office macro templates, maintaining persistence through adding task scheduler entries
- T1547.001, T1137, T1053 Maintain persistence through registry editing, use Office macro templates, maintaining persistence through adding task scheduler entries
- T1005, T1056.001 Collect system information, keylogging
- T1001, T1132 Encode collected information, obfuscate malicious scripts Exfiltration
- T1041 Exfiltrate collected information to the C2 server
Weitere Informationen
- Angriffsziele:
- Wirtschaftsspionage weltweit
- Regierungsbehörden
- Think Tanks
- Einzelpersonen, die sich mit Themen beschäftigen, die für die nordkoreanische Regierung von Interesse sind (z. B. Menschenrechte, Kernwaffenprogramme und Wirtschaftssanktionen)
- Fokus auf Südkorea, Japan, Europa und USA
- Zweck: Kryptowährungen erbeuten
- Weltweites Agenten-Netzwerk