مجموعة Kimsuky للقرصنة تعتمد على الصيد الإلكتروني بدون البرمجيات الخبيثة، وتتجنب أنظمة الكشف

تستخدم Kimsuky تكتيكات الصيد الإلكتروني بدون البرامج الخبيثة، وخدمات البريد الإلكتروني الروسية، والمواقع المقنعة لاستهداف الباحثين، والمؤسسات، والمنظمات المالية، متجنبة الكشف.

الباحثون في كوريا الجنوبية كشفوا عن تحول في تكتيكات مجموعة القرصنة الكورية الشمالية كيمسوكي، التي بدأت تستخدم هجمات التصيد الإلكتروني بدون برامج ضارة مصممة لتجاوز أنظمة الكشف عن النقاط النهائية والاستجابة (EDR) الرئيسية، كما أفادت أخبار الأمن السيبراني (CSN).

هذه المجموعة، التي كانت نشطة لعدة سنوات، استهدفت الباحثين والمنظمات التي تركز على كوريا الشمالية. تتطور استراتيجياتها لتجنب الكشف وزيادة معدل نجاح حملاتها.

تقارير CSN أن هناك تغيير كبير في منهج Kimsuky يتضمن طرق هجوم البريد الإلكتروني. في السابق، كانت المجموعة تعتمد بشكل كبير على خدمات البريد الإلكتروني اليابانية لحملات التصيد الاحتيالي.

ومع ذلك، تكشف النتائج الأخيرة عن انتقال إلى خدمات البريد الإلكتروني الروسية، مما يجعله أكثر تحدياً للأهداف لتحديد الرسائل الإلكترونية المشبوهة وتجنب التعرض المحتمل للخطر، كما تقول CSN.

كما أن Kimsuky بدأت بشكل متزايد في اعتماد هجمات الاصطياد الإلكتروني بدون برامج ضارة، والتي تعتمد على رسائل البريد الإلكتروني الاحتيالية المبنية على عناوين URL مصممة بعناية والتي لا تحتوي على مرفقات ضارة، مما يجعلها أكثر صعوبة في الكشف عنها، وفقاً لما ذكرته CSN.

تقوم هذه الرسائل الإلكترونية غالبًا بتقليد الكيانات مثل خدمات الوثائق الإلكترونية، ومديري أمن البريد الإلكتروني، والمؤسسات العامة، والمنظمات المالية.

تتميز رسائل المجموعة بدرجة عالية من الدقة، حيث تتضمن بشكل متكرر مواضيع مالية مألوفة لزيادة مصداقيتها واحتمالية تفاعل المستخدم، كما يقول CSN.

أظهرت التقارير استخدام Kimsuky لنطاقات من “MyDomain[.]Korea”، وهو خدمة تسجيل نطاقات كورية مجانية، لإنشاء مواقع التصيد الإلكتروني المقنعة، كما تلاحظ CSN.

تسليط الضوء على الجدول الزمني للأنشطة التي حددها Genians يبرز التحول التدريجي للمجموعة في استخدام النطاقات، بدءًا من النطاقات اليابانية والأمريكية في أبريل 2024، ثم الانتقال إلى الخدمات الكورية بحلول مايو، وأخيرًا اعتماد النطاقات الروسية المزيفة بحلول سبتمبر، كما يقول CSN.

هذه المجالات الروسية، المرتبطة بأداة التصيد الإلكتروني المعروفة بـ “نجمة 3.0″، تم تسجيلها لدعم حملات المجموعة. تم تمييز ملف مرتبط بهذه الهجمات، بإسم “1.doc” على VirusTotal، حيث قام بعض خدمات مكافحة البرامج الخبيثة بتحديده كمرتبط بـ Kimsuky، حسبما أفادت CSN.

من المثير للاهتمام أن استخدام المجموعة لبريد “نجمة 3.0” يعود إلى حملات سابقة تم تحديدها في عام 2021. في ذلك الوقت، تم اكتشاف البريد على موقع جامعة إيفانجيليا، وهي مؤسسة أمريكية، وتم ربطه بالممثلين الكوريين الشماليين في التقارير من Proofpoint.

تؤكد التكتيكات المتطورة لـ Kimsuky على ضرورة اليقظة بين الأهداف المحتملة.

يوصي خبراء الأمن السيبراني بزيادة الفحص للرسائل المشبوهة، وخاصة تلك المتعلقة بالمسائل المالية، وتبني آليات الدفاع المتقدمة لنقاط النهاية.

البقاء على اطلاع حول أساليب الفريق وتحديث سياسات الأمان رداً على التهديدات الناشئة هو أمر حاسم لحماية المعلومات الحساسة والحفاظ على تدابير الأمن السيبراني القوية.