Нов кибероператор на КНДР е отговорен за поредица от кампании, организирани с цел събиране на стратегическа разузнавателна информация, която съответства на геополитическите интереси на Пхенян от 2018 г. насам.
Компанията Mandiant, собственост на Google, която проследява клъстера от дейности под псевдонима APT43, заяви, че мотивите на групата са както шпионски, така и финансово мотивирани, като използва техники като събиране на удостоверения и социално инженерство.
Паричният аспект на кампаниите за атаки е опит на хакерите да генерират средства, за да изпълнят „основната си мисия за събиране на стратегическа информация“.
Моделите на виктимологията показват, че атаките са насочени към Южна Корея, САЩ, Япония и ЕС, като обхващат правителствени, образователни, изследователски, политически институти, бизнес услуги и производствени сектори.
Наблюдава се също така, че групировката се отклонява от курса, като нанася удари по вертикали, свързани със здравеопазването, и фармацевтични компании от октомври 2020 г. до октомври 2021 г., което подчертава способността й бързо да променя приоритетите си.
„APT43 е плодовит кибероператор, който подкрепя интересите на севернокорейския режим“, заявиха изследователите от Mandiant в подробен технически доклад, публикуван във вторник.
„Групата съчетава умерено сложни технически възможности с агресивни тактики за социално инженерство, особено срещу правителствени организации, академични среди и мозъчни тръстове, базирани в Южна Корея и САЩ, които се занимават с геополитически въпроси на Корейския полуостров.“
Твърди се, че дейностите на APT43 са съгласувани с Генералното разузнавателно бюро (RGB), външната разузнавателна агенция на Северна Корея, което показва тактическо припокриване с друга хакерска група, наречена Kimsuky (известна още като Black Banshee, Thallium или Velvet Chollima).
Нещо повече, наблюдавано е използването на инструменти, които преди това са били свързвани с други подчинени синдикати на противници в рамките на RGB, като например групата Lazarus (известна още като TEMP.Hermit).
Веригите от атаки, организирани от APT43, включват спиър-фишинг имейли, съдържащи специално пригодени примамки за привличане на жертви. Тези съобщения се изпращат, като се използват подправени и фалшиви лица, които се представят за ключови лица в областта на компетентност на мишената, за да спечелят нейното доверие.
Известно е също, че се възползва от списъци с контакти, откраднати от компрометирани лица, за да идентифицира повече цели и да открадне криптовалута, за да финансира инфраструктурата си за атаки. След това откраднатите цифрови активи се изпират, като се използват услуги за отдаване под наем на хеш и облачно добиване, за да се замъглят съдебните следи и да се превърнат в чиста криптовалута.
Крайната цел на атаките е да се улеснят кампании за събиране на идентификационни данни чрез домейни, които имитират широк набор от законни услуги и използват събраните данни за създаване на онлайн персони и тролове.
„Разпространението на финансово мотивирана дейност сред севернокорейските групи, дори сред онези, които исторически са се фокусирали върху кибершпионажа, предполага широко разпространен мандат за самофинансиране и очакване да се издържат без допълнителни ресурси“, казва Mandiant.
Операциите на APT43 се актуализират чрез голям арсенал от персонализиран и публично достъпен злонамерен софтуер като LATEOP (известен още като BabyShark), FastFire, gh0st RAT, Quasar RAT, Amadey и версия за Android на базирана на Windows програма за изтегляне, наречена PENCILDOWN.
Констатациите идват по-малко от седмица, след като германските и южнокорейските правителствени агенции предупредиха за кибератаки, организирани от Kimsuky, използвайки измамни разширения на браузъра, за да открадне входящите кутии на потребителите в Gmail.
„APT43 е силно отзивчив към изискванията на ръководството на Пхенян“, каза фирмата за разузнаване на заплахи, отбелязвайки, че групата „поддържа висок темп на дейност“.
„Въпреки че фишингът и събирането на идентификационни данни срещу правителствени, военни и дипломатически организации са били основни задачи за групата, APT43 в крайна сметка променя своето насочване и тактики, техники и процедури, за да отговаря на своите спонсори, включително извършване на финансово мотивирани киберпрестъпления, ако е необходимо за подкрепа на режима“.
