Търсене
Close this search box.

Севернокорейска група финансира шпионски операции с киберпрестъпления

Нов кибероператор на КНДР е отговорен за поредица от кампании, организирани с цел събиране на стратегическа разузнавателна информация, която съответства на геополитическите интереси на Пхенян от 2018 г. насам.

Компанията Mandiant, собственост на Google, която проследява клъстера от дейности под псевдонима APT43, заяви, че мотивите на групата са както шпионски, така и финансово мотивирани, като използва техники като събиране на удостоверения и социално инженерство.

Паричният аспект на кампаниите за атаки е опит на хакерите да генерират средства, за да изпълнят „основната си мисия за събиране на стратегическа информация“.

Моделите на виктимологията показват, че атаките са насочени към Южна Корея, САЩ, Япония и ЕС, като обхващат правителствени, образователни, изследователски, политически институти, бизнес услуги и производствени сектори.

Наблюдава се също така, че групировката се отклонява от курса, като нанася удари по вертикали, свързани със здравеопазването, и фармацевтични компании от октомври 2020 г. до октомври 2021 г., което подчертава способността й бързо да променя приоритетите си.

„APT43 е плодовит кибероператор, който подкрепя интересите на севернокорейския режим“, заявиха изследователите от Mandiant в подробен технически доклад, публикуван във вторник.

„Групата съчетава умерено сложни технически възможности с агресивни тактики за социално инженерство, особено срещу правителствени организации, академични среди и мозъчни тръстове, базирани в Южна Корея и САЩ, които се занимават с геополитически въпроси на Корейския полуостров.“

Твърди се, че дейностите на APT43 са съгласувани с Генералното разузнавателно бюро (RGB), външната разузнавателна агенция на Северна Корея, което показва тактическо припокриване с друга хакерска група, наречена Kimsuky (известна още като Black Banshee, Thallium или Velvet Chollima).

Нещо повече, наблюдавано е използването на инструменти, които преди това са били свързвани с други подчинени синдикати на противници в рамките на RGB, като например групата Lazarus (известна още като TEMP.Hermit).

Веригите от атаки, организирани от APT43, включват спиър-фишинг имейли, съдържащи специално пригодени примамки за привличане на жертви. Тези съобщения се изпращат, като се използват подправени и фалшиви лица, които се представят за ключови лица в областта на компетентност на мишената, за да спечелят нейното доверие.

Известно е също, че се възползва от списъци с контакти, откраднати от компрометирани лица, за да идентифицира повече цели и да открадне криптовалута, за да финансира инфраструктурата си за атаки. След това откраднатите цифрови активи се изпират, като се използват услуги за отдаване под наем на хеш и облачно добиване, за да се замъглят съдебните следи и да се превърнат в чиста криптовалута.

Крайната цел на атаките е да се улеснят кампании за събиране на идентификационни данни чрез домейни, които имитират широк набор от законни услуги и използват събраните данни за създаване на онлайн персони и тролове.

„Разпространението на финансово мотивирана дейност сред севернокорейските групи, дори сред онези, които исторически са се фокусирали върху кибершпионажа, предполага широко разпространен мандат за самофинансиране и очакване да се издържат без допълнителни ресурси“, казва Mandiant.

Операциите на APT43 се актуализират чрез голям арсенал от персонализиран и публично достъпен злонамерен софтуер като LATEOP (известен още като BabyShark), FastFire, gh0st RAT, Quasar RAT, Amadey и версия за Android на базирана на Windows програма за изтегляне, наречена PENCILDOWN.

Констатациите идват по-малко от седмица, след като германските и южнокорейските правителствени агенции предупредиха за кибератаки, организирани от Kimsuky, използвайки измамни разширения на браузъра, за да открадне входящите кутии на потребителите в Gmail.

„APT43 е силно отзивчив към изискванията на ръководството на Пхенян“, каза фирмата за разузнаване на заплахи, отбелязвайки, че групата „поддържа висок темп на дейност“.

„Въпреки че фишингът и събирането на идентификационни данни срещу правителствени, военни и дипломатически организации са били основни задачи за групата, APT43 в крайна сметка променя своето насочване и тактики, техники и процедури, за да отговаря на своите спонсори, включително извършване на финансово мотивирани киберпрестъпления, ако е необходимо за подкрепа на режима“.

Източник: The Hacker News

Подобни публикации

27 февруари 2024

Севернокорейските хакери атакуват разработчици ...

Нови данни на Phylum показват, че набор от фалшиви пакети npm, откр...
27 февруари 2024

Защо автоматизацията е от съществено значение з...

Областта на киберсигурността се разширява, което води след себе си ...
27 февруари 2024

Киберсигурност - четки за зъби, дронове и джуджета

Звучи като виц, но всички тези истории са станали популярни през по...
27 февруари 2024

САЩ и НАТО: Руските хакери преминават към облач...

Членовете на разузнавателния алианс „Пет очи“ (FVEY) пр...
27 февруари 2024

ThyssenKrupp потвърждава кибератака

Стоманодобивният гигант ThyssenKrupp потвърждава, че миналата седми...
27 февруари 2024

SubdoMailing - развива се агресивна измамна кам...

Мащабна кампания за рекламни измами, наречена „SubdoMailing&#...
27 февруари 2024

Реакция на пробива в сигурността на AnyDesk с р...

Нарушението и реакцията на AnyDesk На 2 февруари приложението за от...
26 февруари 2024

Организациите са изправени пред големи санкции ...

Това може да се превърне в кошмар за правоприлагащите органи –...
26 февруари 2024

Малави спря издаването на паспорти заради кибер...

Съобщава се, че правителството на Малави е спряло издаването на пас...
Бъдете социални
Още по темата
24/02/2024

Парите на LockBit

Според анализа на стотици криптовалутни портфейли,...
06/02/2024

Какво подготвя Марк Зукърбърг?

Главният изпълнителен директор на Meta Марк...
25/01/2024

Интересни новини от Pwn2Own...

Изследователи по сигурността хакнаха модем на...
Последно добавени
27/02/2024

Севернокорейските хакери ат...

Нови данни на Phylum показват, че...
27/02/2024

Защо автоматизацията е от с...

Областта на киберсигурността се разширява, което...
27/02/2024

Киберсигурност - четки за з...

Звучи като виц, но всички тези...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!