Een bijzondere combinatie van een Bulgaarse mailserver en Koreaanse karakters hebben een cyberspionagecampagne onthuld die tegen Zuid-Koreaanse denktanks en organisaties was ingezet en mogelijk van Noord-Korea afkomstig is.
Onderzoekers van Kaskersky Lab ontdekten een vrij eenvoudig spionageprogramma dat via een openbare e-mailserver met de de aanvallers communiceerde. Een aanpak die door veel amateurvirusschrijvers wordt toegepast, aldus Dmitry Tarakanov. Het ging hier om een Bulgaarse mailserver terwijl de malware Koreaanse karakters bevatte. Het was deze combinatie waardoor de onderzoekers besloten om de malware verder te onderzoeken.
Hoe de Kimsuky Trojan, zoals de malware wordt genoemd, zich verspreidt is nog onbekend. De onderzoekers denken dat er spear phishingmails worden ingezet. Eenmaal actief kan het Trojaanse paard toetsaanslagen opslaan en geeft het de aanvallers toegang tot de besmette machine.
De aanvallers maken gebruik van een aangepaste versie van de TeamViewer remote access applicatie. Deze dient als achterdeur om bestanden op de geïnfecteerde computers te kapen. Verder bevat de Kimsuky-malware een kwaadaardig programma dat speciaal is ontworpen voor het stelen van HWP-bestanden. Dit doet vermoeden dat deze documenten tot de belangrijkste doelstellingen van de groep behoren.
HWP-documenten worden gemaakt via de Zuid-Koreaanse tekstverwerker uit de Hancom Office-bundel, die intensief door lokale overheden in Zuid-Korea wordt gebruikt. De onderzoekers hebben het vermoeden dat de aanval van Noord-Korea afkomstig is.
Zo zijn Zuid-Koreaanse instituten die onderzoek doen naar internationale kwesties en defensiebeleid verzorgen voor de overheid, een nationale scheepvaartmaatschappij en steungroepen voor Koreaanse hereniging het doelwit. Daarnaast bevat de malware Koreaanse woorden die zich laten vertalen als "aanval" en "voltooiing".
Deze posting is gelocked. Reageren is niet meer mogelijk.