Badacze zagrożeń w Mandiant Google Cloud przypisali kampanię cyberprzestępczości z Korei Północnej do nowo wyznaczonego zaawansowanego aktora trwałego zagrożeniaAPT43, w swojej pierwszej oficjalnej „aktualizacji” od sześciu miesięcy.
Mandiant powiedział, że APT43 był płodnym aktorem cyberprzestępczym działającym w imieniu reżimu Korei Północnej i podobnie jak wiele innych grup działających w zubożałym i odizolowanym państwie, jego akcje w handlu to cyberprzestępczość motywowana finansowo.
Jej badacze śledzą działalność grupy od 2018 r., ślęcząc nad ryzami danych badawczych i łącząc kropki między różnymi incydentami, ale dopiero teraz zebrali wystarczającą ilość dowodów, aby móc dokonać formalnego przypisania.
Priorytety APT43 są zgodne z misją północnokoreańskiej jednostki wywiadu zagranicznego, Generalnego Biura Rozpoznania (RGB), a jej głównym celem jest pranie kryptowalut w celu zakupu infrastruktury operacyjnej w taki sposób, aby ograniczyć konieczność wydawania przez rząd centralny znacznych… potrzebne fundusze. Jest to zgodne z państwową ideologią samodzielności Dżucze.
Dotychczas jego celem były głównie cele w Korei Południowej, Japonii, Europie i Stanach Zjednoczonych w wielu sektorach, w tym w sektorze rządowym, biznesowym i produkcyjnym. Podobnie jak wiele innych północnokoreańskich zaawansowanych trwałych zagrożeń (APT), atakuje również instytucje edukacyjne i badawcze oraz organizacje, takie jak polityczne think tanki, które zajmują się geopolityka regionalna, a zwłaszcza polityka nuklearna.
„W Europie obawy dotyczące tej grupy powinny koncentrować się bardziej na stronie szpiegowskiej niż na działaniach generujących dochód, które były bardziej powszechne w Stanach Zjednoczonych” – powiedział główny analityk Mandiant, Michael Barnhart.
Reklama
„Podczas pandemii części APT43 miały drugorzędne cele w zakresie pozyskiwania informacji związanych ze szczepionką Covid-19, oprócz ich mandatu dotyczącego strategicznych wysiłków w zakresie energii jądrowej i stosunków zagranicznych, więc widzieliśmy, jak celują w think tanki i organizacje kształtujące politykę, podmioty zajmujące się stosunkami zagranicznymi i organów zarządzających w Europie, aby spróbować osiągnąć ten cel.
„Widzieliśmy również grupę udającą dziennikarzy, aby badać sprawy będące przedmiotem zainteresowania wywiadu reżimu KRLD, obierając za cel organizacje europejskie. Niektóre z tych wiadomości informacyjnych nie zawierają żadnych treści i mają na celu po prostu nawiązanie kontaktu, ale inne zawierają dokumenty zawierające złośliwe oprogramowanie lub łącza w postaci kwestionariusza informacyjnego, który należy odesłać do atakujących” – powiedział Barnhart.
„Widzieliśmy, jak APT43 odnosi ogromne sukcesy w przypadku fałszywych wiadomości e-mail od reporterów, generując wysokie wskaźniki sukcesu w uzyskiwaniu odpowiedzi od celów. Służy to jako przypomnienie o weryfikacji adresów i tożsamości osób, z którymi rozmawiasz”.
Zaobserwowano, że grupa tworzy wiele sfałszowanych lub jawnie oszukańczych postaci, które wykorzystuje w inżynierii społecznej, a jej agenci często przedstawiają się jako kluczowe osoby na swoim obszarze docelowym, takie jak wysoko postawieni dyplomaci lub analitycy geopolityczni.
„Uważamy, że Korea Północna staje się coraz bardziej zależna od swoich zdolności cybernetycznych, a trwałe i stale rozwijające się operacje APT43 odzwierciedlają trwałe inwestycje tego kraju i zależność od grup takich jak APT43”
Badacze Mandiantów
Wykorzystuje skradzione dane osobowe (PII) dotyczące takich osób, aby tworzyć przekonujące konta i domeny, aby oszukać swoje cele.
Tworzy również tożsamości zastępcze do zakupu narzędzi operacyjnych i infrastruktury IT dla swoich płatników.
Tam, gdzie korzysta ze złośliwego oprogramowania, APT43 został zaobserwowany przy użyciu stosunkowo dużego zestawu publicznie dostępnych narzędzi, w tym gh0st RAT, QUASARRAT, AMADEY i backdoora LATEOP VisualBasic, ale zaobserwowano również, że opracowuje własne warianty, w szczególności Android- wariant narzędzia do pobierania PENCILDOWN opartego na systemie Windows.
Ostatecznie wydaje się, że celem APT43 jest wykorzystanie skradzionej kryptowaluty do zakupu usług wynajmu haszyszu i wydobywania w chmurze w celu zapewnienia mocy obliczeniowej, którą następnie wykorzystuje do wydobywania kryptowaluty do wybranego przez siebie portfela bez żadnego powiązania opartego na łańcuchu bloków z pierwotnymi płatnościami. Skutecznie pierze kryptowaluty, wykorzystując skradzione fundusze do tworzenia czystych funduszy.
Mandiant powiedział, że grupa jest wyraźnie samowystarczalna i zdolna do finansowania własnych operacji oraz że o ile nie nastąpi drastyczna zmiana priorytetów Korei Północnej lub upadek jej reżimu, nadal będzie ona skuteczna w prowadzeniu kampanii szpiegowskich i motywowanych finansowo działań wspierających jego cele.
„Uważamy, że Korea Północna staje się coraz bardziej zależna od swoich zdolności cybernetycznych, a trwałe i stale rozwijające się operacje APT43 odzwierciedlają trwałe inwestycje i poleganie na grupach takich jak APT43” – podsumował zespół badawczy.
„Jak pokazało nagłe, ale tymczasowe przesunięcie grupy w kierunku opieki zdrowotnej i farmaceutycznej, APT43 bardzo dobrze reaguje na żądania przywództwa Pjongjangu.
„Chociaż phishing spear i gromadzenie danych uwierzytelniających przeciwko rządowi, wojsku i organizacje dyplomatyczne były głównymi zadaniami grupy, APT43 ostatecznie modyfikuje swoje cele i taktykę, techniki i procedury dostosowane do sponsorów, w tym przeprowadzanie cyberprzestępczości motywowanej finansowo, jeśli jest to konieczne do wsparcia reżimu” – dodali.
Więcej informacji na temat APT43, w tym wskaźniki kompromisu (IoC), można pobrać tutaj.
Komisja Lorda wzywa rząd do uczynienia konkurencji rynkowej w zakresie sztucznej inteligencji (AI) „wyraźnym celem polityki”, krytykując jednocześnie jego...
Komisja Lorda wzywa rząd do uczynienia konkurencji rynkowej w zakresie sztucznej inteligencji (AI) „wyraźnym celem polityki”, krytykując jednocześnie jego...
Komisja Lorda wzywa rząd do uczynienia konkurencji rynkowej w zakresie sztucznej inteligencji (AI) „wyraźnym celem polityki”, krytykując jednocześnie jego „nieodpowiednie i pogarszające się”...
