APT nord coreani usano nuove tecniche di spionaggio
Redazione SecurityOpenLab Social engineering, abuso del protocollo DMARC e typosquatting sono le tecniche attuate dal 2023 per lo spionaggio politico da parte di un noto APT della Corea del Nord.
Nei primi tre mesi del 2024 si sono intensificate notevolmente le attività del gruppo APT Nord Coreano TA427 (noto anche come Emerald Sleet, APT43, THALLIUM e Kimsuky), che da tempo opera per cercare soluzioni finalizzate a circoscrivere le sanzioni internazionali, così da permettere l’ingresso nella Repubblica Popolare Democratica di Corea (Corea del Nord) di tecnologie missilistiche a supporto del programma nazionale di fabbricazione di armi.
I Ricercatori di Proofpoint hanno intercettato e analizzato campagne di phishing che miravano a ottenere informazioni sulla politica estera degli Stati Uniti e della Corea del Sud. TA427 è una vecchia conoscenza che viene monitorata ormai da tempo, per questo non sono passate inosservate le nuove tattiche messe in campo dal gruppo, fra cui lo spoofing e l’inclusione nelle email dei cosiddetti web beacon, ossia immagini elettroniche, spesso in formato HTML, usate per tracciare le attività degli utenti.
Nel caso dell’APT in oggetto, i soggetti di interesse erano esperti di politica estera, personaggi legati ai think tank e alle organizzazioni non governative, a cui avrebbero potuto in qualche modo estorcere informazioni utili alla Corea del Nord. Stando al report ufficiale, la campagna in questione sarebbe attiva dal 2023 e consisterebbe in email di social engineering dal tono amichevole e distensivo finalizzate ad avviare con i destinatari una conversazione inerente il disarmo nucleare, le politiche di Stati Uniti e Regno Unito a tale proposito e le sanzioni alla Corea nel Nord.
Gli attaccanti hanno anche abusato dei criteri del protocollo di autenticazione Domain-based Message Authentication, Reporting and Conformance (DMARC). Tale protocollo è una misura anti spoofing che permette – fra le altre cose - di verificare l’identità del mittente e che ha proprio l’obiettivo di consentire il rilevamento e la prevenzione di messaggi email provenienti da cyber criminali. L’impostazione non ottimale delle regole DMARK lascia spazio agli attaccanti come TA427, come verificato da Proofpoint.
In particolare, negli attacchi documentati del gruppo TA427 le persone impersonate sono tipicamente esperti del mondo accademico, del giornalismo e della ricerca indipendente, che cercano di ingaggiare discussioni con i propri alter ego occidentali così da collezionare informazioni utili alla causa nord coreana.
Rimani sempre aggiornato, seguici su Google News!
Seguici
Notizie correlate
Speciali Tutti gli speciali
Calendario Tutto
Ultime notizie Tutto
La rivoluzione quantistica nella cybersecurity: sfide e soluzioni
La rivoluzione del quantum computing mette a rischio la crittografia attuale: Umberto Pirovano di Palo Alto Networks spiega rischi, tempistiche e soluzioni post-quantum.
07-07-2025
SentinelOne premia i partner top performer in EMEA
Nel corso del PartnerOne Summit 2025 il vendor di cybersecurity premia i contributi di eccellenza all'innovazione nelle soluzioni di sicurezza dei propri partner
07-07-2025
Scattered Spider punta su attacchi a catena via fornitori BPO e call center
Noto gruppo criminale sfrutta la compromissione di fornitori BPO e call center per colpire più vittime in settori chiave. Facciamo il punto sulle nuove tattiche.
04-07-2025
Escalation di privilegi su Linux per due falle critiche
Scoperte due vulnerabilità concatenate che permettono a un attaccante locale di ottenere privilegi root su Linux. Disponibili le patch e i consigli di mitigazione.
04-07-2025
G11 Media Networks
SecurityOpenLab e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
