عامل تهدید دولت کره شمالی با کمپین در حال انجامی مرتبط است که بخشهای تجاری، دولتی و رمز ارزهای کره جنوبی را هدف قرار میدهد.
Securonix این کمپین حمله را DEEP#DRIVE نامگذاری کرد که به گروه هکری معروف به Kimsuky (با نامهای APT43، Black Banshee، Emerald Sleet، Sparkling Pisces، Springtail، TA427 و Velvet Chollima نیز ردیابی میشود) نسبت داده شده است. مهاجمان در عملیاتی پیچیده و چند مرحلهای با استفاده از فریبهای فیشینگ به زبان کرهای و در پوشش اسناد قانونی، با موفقیت به محیطهای هدف نفوذ کردند.
اسناد فریبنده که از طریق ایمیلهای فیشینگ بهعنوان فایلهای HWP، .XLSX. و PPTX. ارسال میشوند، در قالب گزارشهای کاری، اسناد بیمه و فایلهای مربوط به رمزنگاری پنهان میشوند تا گیرندگان را برای باز کردن فایل فریب دهند و در نتیجه فرآیند آلودگی را آغاز کنند. زنجیره حمله به دلیل اتکای شدید به اسکریپتهای پاورشل در مراحل مختلف از جمله تحویل پیلود، شناسایی و اجرا، همچنین استفاده از Dropbox برای توزیع پیلود و استخراج داده قابل توجه است.
https://thehackernews.com/2025/02/north-korean-apt43-uses-powershell-and.html
