Търсене
Close this search box.

Севернокорейска група финансира шпионски операции с киберпрестъпления

Нов кибероператор на КНДР е отговорен за поредица от кампании, организирани с цел събиране на стратегическа разузнавателна информация, която съответства на геополитическите интереси на Пхенян от 2018 г. насам.

Компанията Mandiant, собственост на Google, която проследява клъстера от дейности под псевдонима APT43, заяви, че мотивите на групата са както шпионски, така и финансово мотивирани, като използва техники като събиране на удостоверения и социално инженерство.

Паричният аспект на кампаниите за атаки е опит на хакерите да генерират средства, за да изпълнят „основната си мисия за събиране на стратегическа информация“.

Моделите на виктимологията показват, че атаките са насочени към Южна Корея, САЩ, Япония и ЕС, като обхващат правителствени, образователни, изследователски, политически институти, бизнес услуги и производствени сектори.

Наблюдава се също така, че групировката се отклонява от курса, като нанася удари по вертикали, свързани със здравеопазването, и фармацевтични компании от октомври 2020 г. до октомври 2021 г., което подчертава способността й бързо да променя приоритетите си.

„APT43 е плодовит кибероператор, който подкрепя интересите на севернокорейския режим“, заявиха изследователите от Mandiant в подробен технически доклад, публикуван във вторник.

„Групата съчетава умерено сложни технически възможности с агресивни тактики за социално инженерство, особено срещу правителствени организации, академични среди и мозъчни тръстове, базирани в Южна Корея и САЩ, които се занимават с геополитически въпроси на Корейския полуостров.“

Твърди се, че дейностите на APT43 са съгласувани с Генералното разузнавателно бюро (RGB), външната разузнавателна агенция на Северна Корея, което показва тактическо припокриване с друга хакерска група, наречена Kimsuky (известна още като Black Banshee, Thallium или Velvet Chollima).

Нещо повече, наблюдавано е използването на инструменти, които преди това са били свързвани с други подчинени синдикати на противници в рамките на RGB, като например групата Lazarus (известна още като TEMP.Hermit).

Веригите от атаки, организирани от APT43, включват спиър-фишинг имейли, съдържащи специално пригодени примамки за привличане на жертви. Тези съобщения се изпращат, като се използват подправени и фалшиви лица, които се представят за ключови лица в областта на компетентност на мишената, за да спечелят нейното доверие.

Известно е също, че се възползва от списъци с контакти, откраднати от компрометирани лица, за да идентифицира повече цели и да открадне криптовалута, за да финансира инфраструктурата си за атаки. След това откраднатите цифрови активи се изпират, като се използват услуги за отдаване под наем на хеш и облачно добиване, за да се замъглят съдебните следи и да се превърнат в чиста криптовалута.

Крайната цел на атаките е да се улеснят кампании за събиране на идентификационни данни чрез домейни, които имитират широк набор от законни услуги и използват събраните данни за създаване на онлайн персони и тролове.

„Разпространението на финансово мотивирана дейност сред севернокорейските групи, дори сред онези, които исторически са се фокусирали върху кибершпионажа, предполага широко разпространен мандат за самофинансиране и очакване да се издържат без допълнителни ресурси“, казва Mandiant.

Операциите на APT43 се актуализират чрез голям арсенал от персонализиран и публично достъпен злонамерен софтуер като LATEOP (известен още като BabyShark), FastFire, gh0st RAT, Quasar RAT, Amadey и версия за Android на базирана на Windows програма за изтегляне, наречена PENCILDOWN.

Констатациите идват по-малко от седмица, след като германските и южнокорейските правителствени агенции предупредиха за кибератаки, организирани от Kimsuky, използвайки измамни разширения на браузъра, за да открадне входящите кутии на потребителите в Gmail.

„APT43 е силно отзивчив към изискванията на ръководството на Пхенян“, каза фирмата за разузнаване на заплахи, отбелязвайки, че групата „поддържа висок темп на дейност“.

„Въпреки че фишингът и събирането на идентификационни данни срещу правителствени, военни и дипломатически организации са били основни задачи за групата, APT43 в крайна сметка променя своето насочване и тактики, техники и процедури, за да отговаря на своите спонсори, включително извършване на финансово мотивирани киберпрестъпления, ако е необходимо за подкрепа на режима“.

Източник: The Hacker News

Подобни публикации

25 юли 2024

Съвети как да поддържате киберсигурността на би...

Ръководството на цифровото поведение на служителите е от ключово зн...
24 юли 2024

ACLU се бори за конституционното ви право да пр...

Събуждате се в деня на изборите и отключвате телефона си, за да вид...
24 юли 2024

CrowdStrike обяснява защо лошата актуализация н...

Днес CrowdStrike сподели информация от предварителния си преглед сл...
24 юли 2024

57 000 пациенти, засегнати от нарушение на сигу...

Michigan Medicine (Мичиган Медисин) , академичният медицински центъ...
24 юли 2024

Китайските хакери разполагат с нова версия на M...

Китайската хакерска група, проследена като „Evasive PandaR...
24 юли 2024

Юлските актуализации за сигурност на Windows из...

Microsoft предупреди, че след инсталирането на актуализациите за си...

NIS 2: Въвеждане на по-строго управление на киб...

Новата директива на ЕС NIS 2 вдига летвата за киберсигурност, особе...
Бъдете социални
Още по темата
13/07/2024

CISA издаде усъвършенствани...

Агенцията за киберсигурност и инфраструктурна сигурност...
12/07/2024

Редник от австралийската ар...

Двама австралийски граждани, родени в Русия,...
11/07/2024

Робот се самоуби в Южна Корея

Свидетели са видели робота да кръжи...
Последно добавени
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
24/07/2024

ACLU се бори за конституцио...

Събуждате се в деня на изборите...
24/07/2024

CrowdStrike обяснява защо л...

Днес CrowdStrike сподели информация от предварителния...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!