Un grupo norcoreano de APT ataca las credenciales de correo electrónico en una campaña de ingeniería social
El grupo Kimsuky es experto en establecer relaciones en organizaciones objetivo para distribuir malware y robar credenciales con mayor facilidad.
Investigadores de la firma de seguridad SentinelOne han advertido de una campaña de ingeniería social del grupo norcoreano APT conocido como Kimsuky que intenta robar credenciales de correo electrónico e implantar malware. La campaña, centrada en expertos en asuntos norcoreanos, forma parte de las operaciones de recopilación de inteligencia de mayor envergadura de este grupo, dirigidas a centros de investigación, think tanks, instituciones académicas y medios de comunicación de todo el mundo.
"Kimsuky, un presunto grupo norcoreano de amenazas persistentes avanzadas (APT) cuyas actividades se alinean con los intereses del Gobierno de Corea del Norte, es conocido por sus ataques globales contra organizaciones e individuos", señalan en un informe los investigadores de la firma de seguridad. "Operando desde al menos 2012, el grupo a menudo emplea tácticas dirigidas de phishing e ingeniería social para recopilar inteligencia y acceder a información delicada".
Se hacen pasar por una fuente de confianza de noticias y análisis político de Corea del Norte
En la campaña que SentinelOne analizó y que sirve como ejemplo de la profundidad de la ingeniería social de Kimsuky, el grupo se hizo pasar por el fundador de NK News, un sitio web estadounidense de noticias por suscripción centrado en asuntos norcoreanos. Esto forma parte del enfoque cada vez más común de Kimsuky de establecer una relación con sus objetivos antes de entregar una carga maliciosa.
En este caso, el correo electrónico fraudulento se enviaba a las víctimas desde un nombre de dominio muy parecido al de NK News y les pedía que revisaran un borrador de artículo sobre la amenaza nuclear que representa Corea del Norte. Si las víctimas respondían y contestaban al mensaje, los atacantes les seguían con una URL a un documento alojado en Google Docs que luego les redirigía a una página diseñada para capturar credenciales de Google.
"El destino de la URL se manipula mediante la técnica de suplantación de identidad consistente en configurar la propiedad HTML href para que dirija a un sitio web creado por Kimsuky", explican los investigadores. "Este método, empleado habitualmente en ataques de phishing, crea una discrepancia entre la legitimidad percibida del enlace (un documento auténtico de Google) y el sitio web real visitado al hacer clic en la URL".
De hecho, la URL mostrada conduce a un artículo de Google Docs sobre la amenaza nuclear norcoreana que incluye ediciones y comentarios para que parezca un trabajo en curso. Esto pone de manifiesto que los atacantes se tomaron el tiempo necesario para hacer su ataque lo más creíble posible. De hecho, la página de phishing a la que llegan los usuarios al hacer clic en la URL imita la página que Google Docs muestra normalmente cuando alguien necesita solicitar acceso a un documento.
Para determinados objetivos que entablan conversación con los atacantes, el grupo decide enviar documentos de Word protegidos con contraseña que despliegan una carga útil de malware de reconocimiento llamada ReconShark. Este programa sondea los sistemas para detectar la presencia de software de seguridad conocido y recopila información sobre el ordenador del objetivo que puede utilizarse para planificar un futuro ataque.
En una campaña separada, el grupo también envió correos electrónicos falsos con el objetivo de robar credenciales de inicio de sesión para suscripciones PRO al propio sitio web de NK News. En los correos electrónicos fraudulentos se pide a los usuarios que revisen sus cuentas por motivos de seguridad tras un uso indebido por parte de supuestos atacantes. A continuación, los usuarios son conducidos a un sitio de phishing que imita la página de inicio de sesión real de NK News.
"Obtener acceso a estos informes proporcionaría a Kimsuky información valiosa sobre cómo la comunidad internacional evalúa e interpreta los acontecimientos relacionados con Corea del Norte, contribuyendo a sus iniciativas más amplias de recopilación de inteligencia estratégica", afirman los investigadores de SentinelOne.
Mayor atención a los analistas políticos
Esta última campaña coincide con la actividad de ingeniería social norcoreana documentada en un aviso conjunto sobre amenazas publicado la semana pasada por los gobiernos de Estados Unidos y Corea del Sur. En el aviso, la actividad de Kimsuky se atribuye a la Oficina General de Reconocimiento (RGB), la agencia de inteligencia de Corea del Norte, que se cree que opera múltiples equipos de ciberataque de este tipo.
Kimsuky parece especialmente centrado en el robo de datos y la recopilación de información geopolítica valiosa para el gobierno norcoreano. "Algunas entidades objetivo pueden descartar la amenaza que suponen estas campañas de ingeniería social, ya sea porque no consideran que sus investigaciones y comunicaciones sean de naturaleza sensible, o porque no son conscientes de cómo estos esfuerzos alimentan los esfuerzos más amplios de ciberespionaje del régimen", señalan los autores del informe. "Sin embargo, como se señala en este aviso, Corea del Norte depende en gran medida de la inteligencia obtenida al comprometer a analistas políticos. Además, los ataques exitosos permiten a los actores de Kimsuky crear correos electrónicos de spearphishing más creíbles y eficaces que pueden utilizarse contra objetivos más sensibles y de mayor valor".
Vale la pena señalar que los grupos APT asociados con el gobierno iraní utilizan tácticas similares para atacar a investigadores académicos, analistas políticos y grupos de reflexión mediante la suplantación de identidad y correos electrónicos bien elaborados.
