Microsoft Threat Intelligence otkrio je novu taktiku koju koristi hakerska grupa Emerald Sleet koju sponzoriše sjevernokorejska država, poznata i kao Kimsuky ili VELVET CHOLLIMA.
Grupa koristi tehnike društvenog inženjeringa kako bi prevarila žrtve da kao administratori pokrenu PowerShell komande, omogućavajući im da narušavaju uređaje i eksfiltriraju osjetljive podatke.
Najnoviji pristup Emerald Sleeta uključuje lažno predstavljanje južnokorejskih vladinih zvaničnika kako bi se vremenom izgradilo povjerenje u njihove mete.
Jednom kada se uspostavi odnos, hakeri šalju e-mailove koji sadrže PDF priloge. Ove e-poruke upućuju žrtve da kliknu na URL pod krinkom registracije svojih uređaja za pristup priloženom dokumentu.
“Da bi pročitao PDF datoteku priloženu e-poruci, cilj se namami da klikne URL s uputama za registraciju svog uređaja. Veza za registraciju sadrži upute za otvaranje PowerShell-a kao administratora i zalijepiti kod koji je dao Emerald Sleet.” Microsoft Naveden u X postu.
Proces registracije uključuje eksplicitne upute za otvaranje PowerShell-a kao administratora i lijepljenje koda koji su dobili od napadača.
Ako se izvrši, kod instalira alatku za udaljenu radnu površinu zasnovanu na pretraživaču i preuzima datoteku sertifikata sa tvrdo kodiranim PIN-om sa udaljenog servera.
Registracija i eksploatacija uređaja
Nakon instaliranja malicioznih alata, kod šalje web zahtjev udaljenom serveru, registrujući uređaj žrtve pomoću preuzetog certifikata i PIN-a.
Ovo omogućava Emerald Sleetu neovlašteni pristup narušenom sistemu, omogućavajući im da vrše špijunažu i kradu osetljive informacije.
Microsoft izvještava da je ova taktika primijećena u ograničenim napadima od januara 2025. godine, signalizirajući promjenu u metodama Emerald Sleeta za ciljanje tradicionalnih žrtava špijunaže.
Grupa se prvenstveno fokusira na pojedince koji rade na međunarodnim poslovima, posebno onima koji se odnose na sjeveroistočnu Aziju, kao i na nevladine organizacije, vladine agencije, medijske kuće i druge organizacije širom Sjeverne Amerike, Južne Amerike, Evrope i istočne Azije.
Microsoft aktivno obavještava klijente koji su bili meta ili ugroženi ovom aktivnošću. Defender XDR platforma kompanije je sposobna da otkrije taktiku Emerald Sleeta. Da bi se suprotstavio takvim prijetnjama, Microsoft preporučuje:
- Ulaganje u napredna rješenja protiv krađe identiteta za otkrivanje i blokiranje malicioznih e-poruka.
- Obuka korisnika o prepoznavanju pokušaja krađe identiteta i izbjegavanju sumnjivih URL-ova.
- Primjena pravila smanjenja površine napada za blokiranje uobičajenih tehnika napada kao što su maliciozne skripte.
Izvor: CyberSecurityNews