Podszywali się pod dyplomatów. Celem południowokoreańscy ambasadorzy

Firma Trellix opublikowała raport dotyczący operacji, która prowadzona jest od marca br. Grupa odpowiedzialna za ataki najprawdopodobniej powiązana jest z północnokoreańskim Kimsuky, znanym również pod nazwami APT43, Black Banshee, Velvet Chollima. Jak wskazuje The Record, dotychczas przeprowadzono co najmniej 19 ataków na ambasady. Cyberprzestępcy podszywali się pod dyplomatów oraz urzędników.

Wysyłali zainfekowane załączniki ZIP

Jak wskazuje Trellix, jeden z e-maili nadawca miał podszywać się pod Pierwszego Sekretarza w delegaturze UE. W załączniku został dołączony „protokół ze spotkania doradców politycznych UE”. Cyberprzestępcy podawali się również za m.in. urzędników z Ambasady USA. Maile przez nich wysyłane posiadały zainfekowane załączniki, które były w formacie ZIP i imitowały plik PDF.

„Wewnątrz każdego pliku ZIP znajdował się skrót do pliku Windows z podwójnym rozszerzeniem (pdf.lnk) ukryty pod ikoną i nazwą PDF (np. „Pilny list od ambasadora.pdf.lnk”)” - czytamy w raporcie Trellix.

Zidentyfikowano prawdopodobnie najwcześniejszy atak w tej kampanii, który miał miejsce 6 marca br. E-mail miał pochodzić od urzędnika „Kim Taesung” z domeny „hanmail[.]net”, a w załączniku pojawił się plik ZIP o nazwie (w tłumaczeniu) „Usługa diagnostyki bezpieczeństwa obiektu.zip” z hasłem „ gas2025”.

Ataki były wymierzone w różne sektory i osoby. Pierwsze wysłane wiadomości e-mail posłużyły cyberprzestępcom do rozpoznania i sprawdzenia skuteczności ataku, celowały w kwestie wojskowe i aktualne działania dyplomatyczne. Każdy mail był odpowiednio przygotowany i podszywał się pod wiarygodne źródło znane ofierze.

W maju Trellix odnotował intensyfikację działań grupy hakerskiej. Wykorzystywali oni bardziej zaawansowane metody i zwiększyli liczbę celów. E-maile miały pochodzić od wysoko postawionych urzędników i dotyczyć kluczowych kwestii dyplomatycznych.

Cyberprzestępcy wysyłali nawet zaproszenia z okazji Dnia Niepodległości USA, podszywając się pod pracowników tej ambasady. Wiadomość została rozesłana do wielu odbiorców i wykorzystywała graficzne motywy amerykańskiego święta, aby uwiarygodnić oryginalność e-maila. W tym przypadku „zaproszenie” było również w formacie ZIP („Invitation from U.S. Embassy_U.S. National Day Celebration.zip”, hasło: „USProtocol”).

Cyberprzestępcy dokładnie znali swoje ofiary

Według badania firmy Trellix, atakujący przesłali co najmniej 54 dokumenty PDF w kilku językach (koreański, angielski, perski, arabski, francuski i rosyjski), dotyczące wielu tematów. To miało na celu odpowiednie dopasowanie się do profilu zawodowego swoich ofiar.

„Ta celowa różnorodność językowa i tematyczna podkreśla wyrafinowaną wiedzę atakujących na temat kontekstów i środowiska zawodowego swoich ofiar. Ponad 40% wabików przybrało formę oficjalnych listów, not dyplomatycznych lub oficjalnych ogłoszeń” - stwierdzono w opracowaniu Trellix.

Wśród plików znalazły się m.in.:

• Oficjalne korespondencje ambasady – cyberprzestępcy dokładnie odwzorowywali pisma i listy dyplomatyczne, uwzględniając język, numery referencyjne, format, oficjalne emblematy;
• Treści o tematyce medialnej i akademickiej – te dokumenty dotyczyły konferencji, wywiadów, artykułów badawczych i materiałów dotyczących stosunków Korea Północna-Rosja. Wykorzystali m.in. logo publikacji The Diplomat;
• Przynęty administracyjne – maile zawierające takie dokumenty były wycelowane w dokładnie sprofilowaną grupę personelu ambasady. Wśród przykładów, jakie wyróżnia Trellix, był m.in. formularz rekrutacyjny do międzynarodowej szkoły w Seulu. Prawdopodobnie odbiorca mógł mieć rodzinę lub powiązania z daną instytucją, co zostało sprawdzone przez cyberprzestępców.

Jak wskazuje Trellix, dokumenty nie zawierały złośliwego kodu, a faktyczne zagrożenie wynikało z ukrytych skryptów i narzędzi RAT. Pliki PDF służyły do uśpienia czujności odbiorcy i utwierdzenia go w przekonaniu, że mail jest autentyczny.

Hakerzy z Chin czy z Korei Północnej?

Podczas analizy podjęto próbę identyfikacji grupy odpowiedzialnej za ataki. Wiele wskazuje, że jest to grupa Kimsuky APT-43. Jednak Trellix, analizując incydenty, wskazuje, że sposób działania, a także harmonogram pracy i przerw może sugerować, że ataki mogły odbywać się z udziałem lub wsparciem chińskich hakerów. Wiele jednak wskazuje, że za kampanię szpiegowską odpowiada grupa północnokoreańska.

Jeden z e-maili phishingowych podszywał się pod korespondenta medialnego („The Morning Times”), używając adresu nadawcy *timesthemorning
gmail[.]com* , zapraszając do wywiadu z ambasadorem – alias ten był wielokrotnie obserwowany w próbach phishingu powiązanych z KRLD, wymierzonych w obywateli USA w okresie od lutego do września 2024 roku, według wiarygodnego źródła. @ Trellix