Novi kibernetički operater sjevernokorejske nacionalne države pripisan je nizu kampanja organizovanih za prikupljanje strateških obavještajnih podataka koji su u skladu s geopolitičkim interesima Pjongjanga od 2018. godine.
Mandiant u vlasništvu Google-a, koji prati klaster aktivnosti pod imenom APT43, rekao je da su motivi grupe i špijunski i finansijski, koristeći tehnike poput prikupljanja kredencijala i društvenog inženjeringa.
Monetarni ugao njegovih kampanja napada je pokušaj hakera da prikupi sredstva za ispunjavanje svoje “primarne misije prikupljanja strateških obavještajnih podataka”.
Viktimološki obrasci sugerišu da je ciljanje fokusirano na Južnu Koreju, SAD, Japan i Evropu, obuhvatajući vladu, obrazovanje, istraživanje, političke institute, poslovne usluge i proizvodni sektor.
Uočen je i haker kako skreće sa kursa tako što je od oktobra 2020. godine do oktobra 2021. godine udario na vertikale vezane za zdravlje i farmaceutske kompanije, naglašavajući njegovu sposobnost da brzo promijeni prioritete.
“APT43 je plodan kibernetički operater koji podržava interese sjevernokorejskog režima” rekli su istraživači Mandiant-a u detaljnom tehničkom izvještaju objavljenom u utorak.
“Grupa kombinuje umjereno sofistikovane tehničke sposobnosti s agresivnim taktikama društvenog inženjeringa, posebno protiv vladinih organizacija Južne Koreje i SAD-a, akademika i istraživačkih centara fokusiranih na geopolitička pitanja Korejskog poluotoka.”
Rečeno je da su aktivnosti APT43 usklađene s Generalnim biroom za izviđanje (RGB), stranom obavještajnom agencijom Sjeverne Koreje, što ukazuje na taktička preklapanja s drugom hakerskom grupom pod nazivom Kimsuky (aka Black Banshee, Thallium ili Velvet Chollima).
Štaviše, primećeno je korištenje alata koji su prethodno bili povezani sa drugim podređenim suparničkim sindikatima unutar RGB-a, kao što je Lazarus Group (aka TEMP.Hermit).
Lanci napada koje postavlja APT43 uključuju email o krađi identiteta koje sadrže prilagođene mamce za privlačenje žrtava. Ove poruke se šalju koristeći lažne osobe koje se maskiraju kao ključne osobe unutar područja stručnosti cilja kako bi stekle njihovo povjerenje.
Takođe je poznato da koristi liste kontakata ukradenih od kompromitovanih pojedinaca kako bi identifikovao više meta i ukrao kriptovalute kako bi finansirao svoju infrastrukturu napada. Ukradena digitalna imovina se zatim pere korištenjem usluga iznajmljivanja hash-a i usluga rudarenja u Cloud-u kako bi se zamaglio forenzički trag i stvorila čista kriptovaluta.
Krajnji cilj napada je olakšati kampanje prikupljanja kredencijala kroz domene koje oponašaju širok spektar legitimnih usluga i koriste prikupljene podatke za kreiranje online persona.
“Prevladavanje finansijski motivisanih aktivnosti među sjevernokorejskim grupama, čak i među onima koje su se istorijski fokusirale na kibernetičku špijunažu, sugeriše široko rasprostranjen mandat za samofinansiranje i očekivanje da se izdržavaju bez dodatnih sredstava” rekao je Mandiant.
Operacije APT43 se aktualizuju kroz veliki arsenal prilagođenih i javno dostupnih malicioznih programa kao što su LATEOP (aka BabyShark), FastFire, gh0st RAT, Quasar RAT, Amadey i Android verzija Windows baziranog programa za preuzimanje pod nazivom PENCILDOWN.
Nalazi dolaze manje od nedelju dana nakon što su njemačke i južnokorejske vladine agencije upozorile na kibernetičke napade koje je pokrenuo Kimsuky koristeći lažne ekstenzije pretraživača za krađu Gmail inboxa korisnika.
“APT43 u velikoj mjeri reaguje na zahtjeve rukovodstva Pjongjanga” saopštila je kompanija za obavještavanje o pretnjama, napominjući da grupa “održava visok tempo aktivnosti”.
„Iako su krađa identiteta i prikupljanje kredencijala protiv vladinih, vojnih i diplomatskih organizacija ključni zadaci grupe, APT43 na kraju modifikuje svoje ciljanje i taktike, tehnike i procedure kako bi odgovarao svojim sponzorima, uključujući izvođenje financijski motivisanog kibernetičkog kriminala po potrebi.”
Izvor: The Hacker News