Das Bundesamt für Verfassungsschutz (BfV) und der südkoreanische National Intelligence Service (NIS) haben vor Cyberangriffen durch die Bedrohungsakteure namens Kimsuky gewarnt. Die Angriffe nutzen Rogue-Browser-Erweiterungen, um Gmail-Posteingänge von Nutzern zu stehlen. Das Hauptziel der Angriffe sind Experten auf der Koreanischen Halbinsel und in Nordkorea. Kimsuky sammelt strategische Informationen zu geopolitischen Ereignissen und Verhandlungen, die die Interessen Nordkoreas betreffen.
Betroffen sind vor allem Unternehmen und Organisationen in den USA und Südkorea, insbesondere Einzelpersonen, die innerhalb der Regierung, des Militärs, der Fertigung, der Akademie und der Think-Tank-Organisationen tätig sind.
Kimsuky nutzt Chromium-basierte Browser-Erweiterungen für Cyber-Spionage-Zwecke. Es ist bekannt, dass diese Bedrohungsakteure Daten speziell aus der akademischen, Herstellungs- und nationalen Sicherheitsindustrie in Südkorea sammeln.
Die jüngsten Angriffe der Gruppe zeigen eine Ausweitung ihrer Cyberaktivitäten, um Android-Malware-Stämme wie FastFire, FastSpy, FastViewer und RambleOn zu umfassen.
Um sich vor diesen Bedrohungen zu schützen, können Unternehmen auf die Netzwerksicherheitslösungen von WatchGuard zurückgreifen. WatchGuard ist ein führendes Unternehmen in der Netzwerksicherheitsbranche und bietet fortschrittliche Bedrohungserkennung und -abwehr sowie eine integrierte Sicherheitsplattform, die Unternehmen hilft, sich gegen die zunehmende Bedrohung durch Cyberangriffe zu schützen. DIGITALWEHR als Watchguard Gold-Partner kann beratend zur Hilfe herangezogen werden.
Es wird vermutet, dass Kimsuky auf den Google-Konten seiner Opfer bereits im Voraus durch Phishing-Taktiken erlangte Zugangsdaten verwendet, um sich in die Konten einzuloggen. Anschließend wird eine bösartige App auf den mit dem Konto verknüpften Geräten installiert.
Die Rogue-Erweiterungen nutzen die DevTools-API des Browsers, um Inhalte aus Gmail-Konten zu stehlen. Der Verdacht liegt nahe, dass die Apps, die FastFire und FastViewer enthalten, mithilfe eines Google-Play-Features namens „Interne Tests“ verteilt werden.
Die Warnung vor den Angriffen durch Kimsuky erfolgt zeitgleich mit der Verbindung des nordkoreanischen Advanced Persistent Threat (APT) Actors ScarCruft zu verschiedenen Angriffsvektoren, die verwendet werden, um PowerShell-basierte Backdoors auf kompromittierten Hosts bereitzustellen.