Нов кибероператор на КНДР е отговорен за поредица от кампании, организирани с цел събиране на стратегическа разузнавателна информация, която съответства на геополитическите интереси на Пхенян от 2018 г. насам.

Компанията Mandiant, собственост на Google, която проследява клъстера от дейности под псевдонима APT43, заяви, че мотивите на групата са както шпионски, така и финансово мотивирани, като използва техники като събиране на удостоверения и социално инженерство.

Паричният аспект на кампаниите за атаки е опит на хакерите да генерират средства, за да изпълнят „основната си мисия за събиране на стратегическа информация“.

Моделите на виктимологията показват, че атаките са насочени към Южна Корея, САЩ, Япония и ЕС, като обхващат правителствени, образователни, изследователски, политически институти, бизнес услуги и производствени сектори.

Наблюдава се също така, че групировката се отклонява от курса, като нанася удари по вертикали, свързани със здравеопазването, и фармацевтични компании от октомври 2020 г. до октомври 2021 г., което подчертава способността й бързо да променя приоритетите си.

„APT43 е плодовит кибероператор, който подкрепя интересите на севернокорейския режим“, заявиха изследователите от Mandiant в подробен технически доклад, публикуван във вторник.

„Групата съчетава умерено сложни технически възможности с агресивни тактики за социално инженерство, особено срещу правителствени организации, академични среди и мозъчни тръстове, базирани в Южна Корея и САЩ, които се занимават с геополитически въпроси на Корейския полуостров.“

Твърди се, че дейностите на APT43 са съгласувани с Генералното разузнавателно бюро (RGB), външната разузнавателна агенция на Северна Корея, което показва тактическо припокриване с друга хакерска група, наречена Kimsuky (известна още като Black Banshee, Thallium или Velvet Chollima).

Нещо повече, наблюдавано е използването на инструменти, които преди това са били свързвани с други подчинени синдикати на противници в рамките на RGB, като например групата Lazarus (известна още като TEMP.Hermit).

Веригите от атаки, организирани от APT43, включват спиър-фишинг имейли, съдържащи специално пригодени примамки за привличане на жертви. Тези съобщения се изпращат, като се използват подправени и фалшиви лица, които се представят за ключови лица в областта на компетентност на мишената, за да спечелят нейното доверие.

Известно е също, че се възползва от списъци с контакти, откраднати от компрометирани лица, за да идентифицира повече цели и да открадне криптовалута, за да финансира инфраструктурата си за атаки. След това откраднатите цифрови активи се изпират, като се използват услуги за отдаване под наем на хеш и облачно добиване, за да се замъглят съдебните следи и да се превърнат в чиста криптовалута.

Крайната цел на атаките е да се улеснят кампании за събиране на идентификационни данни чрез домейни, които имитират широк набор от законни услуги и използват събраните данни за създаване на онлайн персони и тролове.

„Разпространението на финансово мотивирана дейност сред севернокорейските групи, дори сред онези, които исторически са се фокусирали върху кибершпионажа, предполага широко разпространен мандат за самофинансиране и очакване да се издържат без допълнителни ресурси“, казва Mandiant.

Операциите на APT43 се актуализират чрез голям арсенал от персонализиран и публично достъпен злонамерен софтуер като LATEOP (известен още като BabyShark), FastFire, gh0st RAT, Quasar RAT, Amadey и версия за Android на базирана на Windows програма за изтегляне, наречена PENCILDOWN.

Констатациите идват по-малко от седмица, след като германските и южнокорейските правителствени агенции предупредиха за кибератаки, организирани от Kimsuky, използвайки измамни разширения на браузъра, за да открадне входящите кутии на потребителите в Gmail.

„APT43 е силно отзивчив към изискванията на ръководството на Пхенян“, каза фирмата за разузнаване на заплахи, отбелязвайки, че групата „поддържа висок темп на дейност“.

„Въпреки че фишингът и събирането на идентификационни данни срещу правителствени, военни и дипломатически организации са били основни задачи за групата, APT43 в крайна сметка променя своето насочване и тактики, техники и процедури, за да отговаря на своите спонсори, включително извършване на финансово мотивирани киберпрестъпления, ако е необходимо за подкрепа на режима“.

Източник: The Hacker News

Подобни публикации

18 февруари 2025

Infostealer е открит в американски военни и отб...

Израелската фирма за киберсигурност Hudson Rock твърди, че в америк...
18 февруари 2025

Десетки италиански уебсайтове са обект на руски...

По данни на италианската национална агенция за киберсигурност ACN о...
18 февруари 2025

Киберпрестъпниците крадат мощта на ИИ, а вие пл...

Атакуващите използват големи езикови модели (LLM) в т.нар. експлойт...
18 февруари 2025

Cisco: Новите смарт суичове осигуряват следващо...

Cisco твърди, че новите интелигентни суичове и решения за защитна с...
17 февруари 2025

Японски художник излага оковано във верига куче...

Изложба в галерия в Токио, в която оковано във верига куче-робот се...
17 февруари 2025

Русия насочва организациите към фишинг с код на...

Свързана с Русия заплаха, проследена като Storm-2372, е насочена къ...
17 февруари 2025

Полицията конфискува 127 сървъра на непробиваем...

Дни след като няколко правителства обявиха санкции срещу услугата з...
17 февруари 2025

Изтеглянето на DeepSeek е спряно в Южна Корея

Китайският стартъп за изкуствен интелект DeepSeek временно е спрял ...
17 февруари 2025

Уязвимостите на Xerox Versalink позволяват стра...

Уязвимостите в многофункционалните принтери Xerox VersaLink могат д...
Бъдете социални
Още по темата
13/02/2025

ИИ и блокчейн срещу застрах...

Застрахователната индустрия преживява значителен растеж, подхранван...
13/02/2025

Япония преминава в атака с ...

Според експерти Япония се стреми да...
07/02/2025

Хакер, атакувал НАТО и арми...

Испанските власти обявиха, че е арестувано...
Последно добавени
18/02/2025

Infostealer е открит в амер...

Израелската фирма за киберсигурност Hudson Rock...
18/02/2025

Десетки италиански уебсайто...

По данни на италианската национална агенция...
18/02/2025

Киберпрестъпниците крадат м...

Атакуващите използват големи езикови модели (LLM)...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!