O Grupo de Hackers Kimsuky Adota Phishing sem Malware, Burlando Sistemas de Detecção

Kimsuky utiliza táticas de phishing sem malwares, serviços de e-mail russos e sites convincentes para atingir pesquisadores, instituições e organizações financeiras, evitando a detecção.

Pesquisadores na Coreia do Sul descobriram uma mudança nas táticas do grupo de hackers norte-coreano Kimsuky, que começou a empregar ataques de phishing sem malware, projetados para contornar grandes sistemas de Detecção e Resposta de Endpoint (EDR), conforme relatado por Cyber Security News (CSN).

Este grupo, ativo há vários anos, tem como alvo pesquisadores e organizações que se concentram na Coreia do Norte. Suas estratégias em constante evolução visam evitar a detecção e aumentar a taxa de sucesso de suas campanhas.

O CSN informa que uma mudança significativa na abordagem do Kimsuky envolve seus métodos de ataque por e-mail. Anteriormente, o grupo dependia fortemente de serviços de e-mail japoneses para suas campanhas de phishing.

No entanto, descobertas recentes revelam uma transição para serviços de email russos, tornando mais desafiador para os alvos identificar comunicações suspeitas e evitar comprometimentos potenciais, diz a CSN.

Kimsuky tem adotado cada vez mais ataques de phishing sem malware, confiando em emails de phishing cuidadosamente elaborados baseados em URL que não possuem anexos de malware, tornando-os mais difíceis de detectar, de acordo com a CSN.

Esses e-mails geralmente se passam por entidades como serviços de documentos eletrônicos, gerentes de segurança de e-mail, instituições públicas e organizações financeiras.

Os e-mails do grupo são altamente sofisticados, incorporando com frequência temas financeiros familiares para aumentar sua credibilidade e a probabilidade de engajamento do usuário, diz o CSN.

Relatórios identificaram o uso de domínios por Kimsuky a partir de “MyDomain[.]Korea”, um serviço gratuito de registro de domínios coreano, para criar sites de phishing convincentes, observa CSN.

Um cronograma de atividades detalhado pela Genians destaca a mudança gradual do grupo no uso de domínios, começando com domínios japoneses e americanos em abril de 2024, passando para serviços coreanos em maio, e finalmente adotando domínios russos fabricados em setembro, diz CSN.

Esses domínios russos, vinculados a uma ferramenta de phishing chamada “star 3.0”, são registrados para reforçar as campanhas do grupo. Um arquivo associado a esses ataques, chamado “1.doc”, foi sinalizado no VirusTotal, com alguns serviços anti-malware identificando-o como conectado ao Kimsuky, relata o CSN.

Curiosamente, o uso do grupo do mailer “star 3.0” remonta a campanhas anteriores identificadas em 2021. Naquela época, o mailer foi descoberto no site da Evangelia University, uma instituição baseada nos EUA, e foi vinculado a atores de ameaças norte-coreanos em relatórios da Proofpoint.

As táticas em evolução de Kimsuky enfatizam a necessidade de vigilância entre os possíveis alvos.

Especialistas em cibersegurança recomendam uma análise mais rigorosa de comunicações suspeitas, particularmente aquelas relacionadas a questões financeiras, e a adoção de defesas avançadas de pontos de extremidade.

Manter-se informada sobre os métodos do grupo e atualizar as políticas de segurança em resposta a ameaças emergentes são cruciais para proteger informações sensíveis e manter medidas robustas de cibersegurança.