Soweit bekannt ist, machte sich die nordkoreanische Hackergruppe eine VPN-Schwachstelle zunutze und gelangte so in das interne Netzwerk. Die Gruppe Kimsuky ist auch unter den Namen Thallium, Black Banshee und Velvet Chollima bekannt und hat vor allem die südkoreanische Regierung ins Visier genommen.
Weitere Ziele entdeckt
"Einer der von Kimsuky verwendeten Köder mit dem Namen "외교부 가판 2021-05-07" bedeutet in der koreanischen Sprache "Ministry of Foreign Affairs Edition 2021-05-07", was darauf hindeutet, dass er auf das Außenministerium von Südkorea abzielt", erklärt der Bericht von Malwarebytes über die jüngsten Aktivitäten des Bedrohungsakteurs. "Unseren gesammelten Daten zufolge haben wir festgestellt, dass es sich um eine Einrichtung handelt, die für Kimsuky von großem Interesse ist."Malwarebytes gibt an, dass Kimsuky in jüngsten Phishing-Angriffen auch weitere südkoreanische Regierungsbehörden ins Visier genommen hat, darunter das Ministerium für Auswärtige Angelegenheiten, das Handelsministerium, den Stellvertretenden Generalkonsul im koreanischen Generalkonsulat in Hongkong, den Beauftragten für nukleare Sicherheit der Internationalen Atomenergiebehörde (IAEA), den Botschafter von Sri Lanka, und einen Berater im Ministerium für Auswärtige Angelegenheiten und Handel.
Im Falle des Hacks der Nuklearforschungsbehörde laufen derzeit noch die Untersuchungen. Man weiß derzeit wohl noch nicht, auf welche Daten zugegriffen werden konnte.
Infografik: Millionenschäden durch Datenlecks
Nordkorea soll über 2 Milliarden Dollar mit IT-Angriffen verdienen
US-Regierung will Nordkorea wegen Wannacry zur Rechenschaft ziehen
Weißes Haus lobt Microsoft für den Kampf gegen Nordkoreas Hacker
Nordkorea: Den Hacker aus den US-Vorwürfen gibt es gar nicht