Нов кибероператор на КНДР е отговорен за поредица от кампании, организирани с цел събиране на стратегическа разузнавателна информация, която съответства на геополитическите интереси на Пхенян от 2018 г. насам.
Компанията Mandiant, собственост на Google, която проследява клъстера от дейности под псевдонима APT43, заяви, че мотивите на групата са както шпионски, така и финансово мотивирани, като използва техники като събиране на удостоверения и социално инженерство.
Паричният аспект на кампаниите за атаки е опит на хакерите да генерират средства, за да изпълнят „основната си мисия за събиране на стратегическа информация“.
Моделите на виктимологията показват, че атаките са насочени към Южна Корея, САЩ, Япония и ЕС, като обхващат правителствени, образователни, изследователски, политически институти, бизнес услуги и производствени сектори.
Наблюдава се също така, че групировката се отклонява от курса, като нанася удари по вертикали, свързани със здравеопазването, и фармацевтични компании от октомври 2020 г. до октомври 2021 г., което подчертава способността й бързо да променя приоритетите си.
„APT43 е плодовит кибероператор, който подкрепя интересите на севернокорейския режим“, заявиха изследователите от Mandiant в подробен технически доклад, публикуван във вторник.
„Групата съчетава умерено сложни технически възможности с агресивни тактики за социално инженерство, особено срещу правителствени организации, академични среди и мозъчни тръстове, базирани в Южна Корея и САЩ, които се занимават с геополитически въпроси на Корейския полуостров.“
Твърди се, че дейностите на APT43 са съгласувани с Генералното разузнавателно бюро (RGB), външната разузнавателна агенция на Северна Корея, което показва тактическо припокриване с друга хакерска група, наречена Kimsuky (известна още като Black Banshee, Thallium или Velvet Chollima).
Нещо повече, наблюдавано е използването на инструменти, които преди това са били свързвани с други подчинени синдикати на противници в рамките на RGB, като например групата Lazarus (известна още като TEMP.Hermit).
Веригите от атаки, организирани от APT43, включват спиър-фишинг имейли, съдържащи специално пригодени примамки за привличане на жертви. Тези съобщения се изпращат, като се използват подправени и фалшиви лица, които се представят за ключови лица в областта на компетентност на мишената, за да спечелят нейното доверие.
Известно е също, че се възползва от списъци с контакти, откраднати от компрометирани лица, за да идентифицира повече цели и да открадне криптовалута, за да финансира инфраструктурата си за атаки. След това откраднатите цифрови активи се изпират, като се използват услуги за отдаване под наем на хеш и облачно добиване, за да се замъглят съдебните следи и да се превърнат в чиста криптовалута.
Крайната цел на атаките е да се улеснят кампании за събиране на идентификационни данни чрез домейни, които имитират широк набор от законни услуги и използват събраните данни за създаване на онлайн персони и тролове.
„Разпространението на финансово мотивирана дейност сред севернокорейските групи, дори сред онези, които исторически са се фокусирали върху кибершпионажа, предполага широко разпространен мандат за самофинансиране и очакване да се издържат без допълнителни ресурси“, казва Mandiant.
Операциите на APT43 се актуализират чрез голям арсенал от персонализиран и публично достъпен злонамерен софтуер като LATEOP (известен още като BabyShark), FastFire, gh0st RAT, Quasar RAT, Amadey и версия за Android на базирана на Windows програма за изтегляне, наречена PENCILDOWN.
Констатациите идват по-малко от седмица, след като германските и южнокорейските правителствени агенции предупредиха за кибератаки, организирани от Kimsuky, използвайки измамни разширения на браузъра, за да открадне входящите кутии на потребителите в Gmail.
„APT43 е силно отзивчив към изискванията на ръководството на Пхенян“, каза фирмата за разузнаване на заплахи, отбелязвайки, че групата „поддържа висок темп на дейност“.
„Въпреки че фишингът и събирането на идентификационни данни срещу правителствени, военни и дипломатически организации са били основни задачи за групата, APT43 в крайна сметка променя своето насочване и тактики, техники и процедури, за да отговаря на своите спонсори, включително извършване на финансово мотивирани киберпрестъпления, ако е необходимо за подкрепа на режима“.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.