Son beş yıldır Amerika Birleşik Devletleri, Avrupa, Japonya ve Güney Kore'deki hükümet kuruluşlarını, akademisyenleri ve düşünce tanklarını hedeflediği ortaya çıktı.
Orta derecede sofistike tehdit oyuncusu 'APT43' olarak izlenir ve casusluk ve finansal olarak motive olmuş siber suç operasyonlarında faaliyetlerini finanse etmeye yardımcı olduğu görülmektedir.
APT43'ün faaliyetlerini ilk kez ifşa eden maniant analistler, tehdit aktörlerinin devlet destekli olduğu ve operasyonel hedeflerini Kuzey Kore hükümetinin jeopolitik amaçlarıyla hizaladığı konusunda yüksek güvenle değerlendiriyorlar.
Mantiant'ın yeni raporunu, "Daha spesifik olarak, Mandiant, APT43'ün ülkenin birincil yabancı istihbarat servisi olan Kuzey Kore Keşif Genel Bürosu'na (RGB) atfedilebileceğine dair ılımlı bir güvenle değerlendiriyor."
Araştırmacılar 2018'in sonlarından beri APT43'ü izliyorlar, ancak şimdi tehdit grubu hakkında daha spesifik ayrıntıları açıkladılar.
APT43, daha geniş stratejik planlamanın talimatlarını izleyerek hedeflerine sipariş aldıkları bir işaret olan casusluk operasyonlarına aniden odaklanmaya odaklanmıştır.
Yıllar geçtikçe, hükümet ofislerini, diplomatik örgütleri, düşünce kuruluşlarını, Kore Yarımadası konularında uzmanlaşmış profesörleri ve Güney Kore, Amerika Birleşik Devletleri, Avrupa ve Japonya'daki diğer kritik kuruluşları hedefliyor.
APT43, hedeflerine yaklaşmak için sahte veya sahte kişilerden mızrak aktı e-postaları kullanır ve onları meşrulaştıran varlıkları taklit eden web sitelerine gönderir. Bununla birlikte, bu web siteleri, mağdurların hesap kimlik bilgilerini girmeleri için kandırıldığı sahte giriş sayfaları içerir.
Bu kimlik bilgilerini çalan APT43, istihbarat koleksiyonunu kendileri gerçekleştirmenin hedefi olarak oturum açar. Ayrıca kurbanın temaslarını kimlik avı faaliyetlerini diğer notlara ilerletmek için kullanıyorlar.
"Grup öncelikle ABD Askeri ve Hükümeti, Savunma Sanayi Üssü (DIB) ve ABD merkezli akademiler tarafından geliştirilen araştırma ve güvenlik politikalarında geliştirilen ve saklanan bilgilerle ilgileniyor ve Nükleer Güvenlik Politikası ve Soliftizasyona odaklanan düşünce kuruluşları," diye açıklıyor. Maniant raporu.
"APT43, Güney Kore'deki benzer sektörlere, özellikle küresel ve bölgesel politikalara odaklanan kar amacı gütmeyen kuruluşlara ve üniversitelere ve üretim gibi işletmelere, Kuzey Kore'ye ihracatı kısıtlanmış olan mallar etrafında bilgi sağlayabilen bilgilere ilgi gösterdi. . "
Bu tür mallara örnek olarak silah, ulaşım araçları, makineler, yakıt ve metaller sayılabilir.
APT43, devlet finansmanından bağımsız olarak faaliyet gösteren Kuzey Kore tehdit grubuna benzer bir strateji kullanır. Bunun yerine, finansal güdümlü siber operasyonlar yoluyla faaliyetlerini sürdürmeleri bekleniyor.
Mantiant, APT43'ü kripto para birimi kredisi almak isteyen Çinli kullanıcıları hedefleyen ve bunun yerine dijital varlıklarını tehdit aktörlerine kaybetmeyi hedefleyen kötü niyetli Android uygulamalarını kullandı.
Karma kiralama alıcılar müşterilere kripto için ödenebilecek kripto para madenciliği için hesaplama gücü kiralamaları. Mantiant, APT43'ün çalınan kripto para birimini yıkamak için kullandığını, böylece kötü amaçlı işlemlere geri dönemeyeceğini söylüyor.
Mantiant, grubun PayPal, American Express Cards ve Bitcoin ile donanım ve altyapı ödediğini gördüğünü bildiriyor, muhtemelen kurbanlardan çalındı.
Mantiant, geçmişteki diğer araştırmacıların APT43 aktivitesini tespit ettiğini, ancak tipik olarak Kimuky veya Thalium'a atfedildiğini bildirdi.
Ayrıca, APT43, Lazarus Hacking Group'un da kullandığı Covid-19 pandemi sırasında kötü amaçlı yazılım kullanırken görülmüştür, ancak bu örtüşme kısa ömürlüdür.
Başka bir durumda, tehdit grubu, APT38'e bağlı olması muhtemel UNC1069 tehdit oyuncusu ile ilişkilendirilmiş "Lonejogger" kripto yönlendirme aracını kullandı.
APT43 ayrıca "Pencildown", "Pendown", "Venombit" ve "Egghatch" indiricileri, "logcabin" ve "latop" ("BabyShark" araçları) gibi diğer tehdit aktörleri tarafından kullanılmayan kendi özel kötü amaçlı yazılımları da vardır. ve "Hangman" arka kapı.
Bunların dışında, tehdit grubu "GH0ST Rat", "Quasarrat" ve "Amadey" gibi halka açık araçlar da kullandı.
Mantian, Kuzey Kore ulusal öncelikleri değiştirmedikçe APT43'ün son derece aktif bir tehdit grubu olmaya devam etmesini bekliyor.
'Acı' Casusluk Bilgisayar korsanları Çin nükleer enerji kuruluşlarını hedefleyin
Kış Vivern APT Hacker'ları kötü amaçlı yazılım yüklemek için sahte antivirüs taramaları kullanır
Iron Tiger Hackers, özel kötü amaçlı yazılımlarının Linux sürümünü oluşturdu
Kuzey Koreli bilgisayar korsanları iki aylık ihlalde araştırma verilerini çaldı
Gmail e -postalarını çalmak için krom uzantıları kullanan Kuzey Koreli hackerlar
Kaynak: Bleeping Computer