קבוצת Kimsuky APT המקושרת לצפון קוריאה, מפעילה חשבונות פייסבוק מזוייפים כדי לבצע מתקפות סייבר ולהטמיע נוזקות באמצעות Messenger. חוקרי סייבר במרכז האבטחה (GSC) Genians זיהו אסטרטגיית תקיפה חדשה של קבוצת Kimsuky APT הצפון קוריאנית ושיתפו פעולה עם סוכנות האינטרנט והביטחון של קוריאה (KISA) לצורך ניתוח ותגובה. מתקפת הסייבר של Kimsuky השתמשה בחשבון מזויף שהתחזה לפקיד ציבור דרום קוריאני במגזר זכויות האדם, במטרה ליצור קשר עם אנשי מפתח בתחומים הקשורים לביטחון, באמצעות בקשות חברות והודעות ישירות. שרשרת המתקפה התחילה בגניבת זהות של אדם אמיתי בדרום קוריאה, לאחר מכן נוצר קשר עם הקורבנות באמצעות מסנג'ר של פייסבוק. ההאקרים העמידו פנים שהם חולקים עם הקורבנות מסמכים פרטיים.
"הגישה הפרטנית הראשונית דומה לאסטרטגיית מתקפת דיוג בחנית מבוססת דוא"ל. עם זאת, העובדה שתקשורת הדדית ואמינות קודמו באמצעות מסנג'ר של פייסבוק, מראה שהנועזות של מתקפות Kimsuky גוברת מיום ליום". נכתב בדו"ח שפרסם GSC וכן: "בעמוד הפייסבוק ששימש למתקפת הסייבר הוצבה תמונת רקע שנראית כאילו צולמה במוסד ציבורי. האקרים המחופשים לפקידי ציבור מנסים לזכות בחסד המטרות שלהם על ידי העמדת פנים שהם משתפים מסמכים פרטיים שכתבו". ההודעות כללו קישור למסמך פיתוי שאוחסן ב- OneDrive. הקובץ הוא מסמך המתחזה למאמר או לתוכן הקשור לפסגה משולשת בין יפן, דרום קוריאה וארה"ב. אחד ממסמכי ההטעיה ('NZZ_Interview_Kohei Yamamoto.msc') שהופעלו במתקפות הועלה ל- VirusTotal מיפן ב- 5 באפריל 2024. עם פתיחת קובץ ה- MSC, הוצג לקורבנות מסמך Word אשר התחיל את שרשרת המתקפה הרב שלבית.
הנוזקה אספה מידע והוציאה אותו לשרת C2 היא יכלה גם לאסוף כתובות IP, מחרוזות User-Agent ומידע חותמת זמן מבקשות ה-HTT P. הנוזקה יכלה גם להוריד נוזקות נוספות למערכות המחשוב הנגועות.
"בין מתקפות הסייבר שדווחו בקוריאה ברבעון הראשון של השנה, השיטה המייצגת ביותר היא מתקפת דיוג בחנית. בנוסף, השיטה של שילוב נוזקות מסוג קיצור דרך (LNK), הופכת פופולרית יותר. למרות שלא מדווחים בדרך כלל, מתרחשות גם מתקפות סייבר סמויות דרך מדיה חברתית", מסכם הדו"ח.
