Direkt zum Inhalt

Die Landesbehörde für Cybersicherheit in Baden-Württemberg

Kimsuky – neues Aufklärungstool ReconShark

- Warnmeldung

Die nordkoreanische Hackergruppe Kimsuky setzt eine neue, verbesserte Version ihrer Aufklärungs-Malware ein. Sie ist Nachfolgerin von BabyShark und heißt jetzt ReconShark und wurde bereits in einer globalen Cyberspionage-Kampagne genutzt.
Ausrufezeichen als Warnung auf Handy

© Adobe Stock

Zielspektrum

Sicherheitsforscher berichten, dass die Gruppierung ihr Zielspektrum erweitert hat. Zu den Zielen gehören nun auch:

  • Regierungsorganisationen
  • Forschungszentren
  • Universitäten
  • Denkfabriken

Kerngebiet sind dabei die Vereinigten Staaten, Europa und Asien.

Vorgehensweise

Kimsuky nutzt gut gestaltete und personalisierte Spear-Phishing-E-Mails, um seine Ziele mit der ReconShark-Malware zu infizieren. Diese Taktik war in allen früheren Kampagnen der Gruppierung zu beobachten. Diese E-Mails enthalten einen Link zu einem bösartigen passwortgeschützten Dokument, das auf Microsoft OneDrive liegt. Dadurch sinkt die Wahrscheinlichkeit, dass E-Mail-Sicherheitstools Alarm schlagen.

Wenn die Zielperson das heruntergeladene Dokument öffnet und die Makros wie angewiesen aktiviert, wird die eingebettete ReconShark-Malware aktiviert. Die ausgespähten Daten werden direkt exfiltriert, indem die Malware alles über HTTP-POST-Requests an den C2-Server sendet. Das heißt, lokal werden keine Daten vor der Exfiltration zwischengespeichert.

Nachdem Microsoft die Makros für heruntergeladene Office-Dokumente standardmäßig deaktiviert hatte, wechselten die meisten Angreifer zu neuen Dateitypen für Phishing-Angriffe, wie ISO-Dateien und neuerdings auch OneNote-Dokumente.

Bewertung

ReconShark kann wertvolle Informationen, wie eingesetzte Erkennungsmechanismen und Hardware-Informationen, exfiltrieren. Dies deutet darauf hin, dass ReconShark Teil einer Aufklärungsoperation für spätere Angriffe ist. Dafür wird möglicherweise Malware eingesetzt, die speziell darauf zugeschnitten ist, Verteidigungsmaßnahmen zu umgehen und Schwachstellen der Plattform auszunutzen. Eine weitere Fähigkeit von ReconShark besteht darin, zusätzliche Tools (sog. Payload), insbesondere Malware, vom C2-Server herunterzuladen. Dies kann Kimsuky eine bessere Position auf dem infizierten System verschaffen.

Kimsuky ist auch in Deutschland sehr aktiv, weshalb die CSBW vor diesem Akteur bereits im März gewarnt hat.

Empfehlungen

Spezifische Maßnahmen zum Schutz vor ReconShark sind nicht bekannt. Die CSBW weist auf ausgewählte allgemeine Empfehlungen zur Verbesserung der Cybersicherheit hin:

  • Regelmäßige Updates für Betriebssysteme, Anwendungen und Firmware
  • Antiviren- und Antimalware-Software einsetzen und regelmäßig aktualisieren
  • Zwei-Faktor-Authentifizierung einsetzen
  • Netzwerkaktivitäten überwachen
  • Mitarbeitende und Benutzer schulen, um sie für Phishing-Angriffe und andere Social-Engineering-Taktiken zu sensibilisieren

Alternative Namen von Kimsuky

Kimsuky ist auch unter folgenden Namen bekannt:

  • APT43
  • Velvet Chollima
  • Black Banshee
  • Thallium

Ausführliche Informationen

  • Die Cybersicherheitsagentur Baden-Württemberg (CSBW) ist die neueste Landesoberbehörde im Land. Grundlage für ihre Gründung ist das Cybersicherheitsgesetz. Seit 2021 begegnet das stetig wachsende und breit aufgestellte Team der CSBW den immer größer werdenden Gefahren von Cyberangriffen im digitalen Raum. Sie steht im ständigen Austausch mit allen relevanten Sicherheitsbehörden und Akteuren. Zentrale Aufgabe der CSBW ist es, die Cybersicherheit in Baden-Württemberg zu verbessern. Im Fokus steht dabei vor allem die Landesverwaltung. Die wichtigsten Schlagworte sind: Prävention, Detektion und Reaktion.