Black Banshee, Emerald Squet ve Kissuky gibi takma adlar tarafından da bilinen Apt43, Koruma Genel Bürosu’na (RGB) bağlı Kuzey Kore devlet destekli bir siber tehdit oyuncusudur.
Bu grup öncelikle casusluk tarafından motive edilir ve son zamanlarda operasyonlarını finansal olarak yönlendirilen siber suçları içerecek şekilde genişletmiştir.
APT43, Güney Kore’deki, özellikle Kuzey Kore ile ilgili siyasi araştırmalara katılanları aktif olarak hedeflemektedir.
Grup, kimlik bilgisi hasat, güvenlik açıklarından yararlanma ve gelişmiş sosyal mühendislik gibi çeşitli sofistike teknikler kullanır.
Kötü amaçlı yazılım cephaneliği RFtrat, Venombit, Otoit, Deep#GOSU, Bitterseet ve Appleseed gibi araçları içerir.
Bu araçlar, ağlara sızmalarını, algılamadan kaçınmalarını ve hassas verileri dışarı atmalarını sağlar.
APT43’ün faaliyetleri Güney Kore ile sınırlı değildir; Ayrıca ABD, Japonya, Çin ve Avrupa ülkelerinde NATO ile bağları olan varlıkları hedeflediler.
Gelişen taktikler ve finansal motivasyon
APT43 taktiklerinde önemli bir evrim göstermiştir.
Birincil odak noktası siber casusluk olarak kalırken, Kuzey Kore rejimini finanse etmek için giderek daha fazla kripto para birimini çalmaya ve aklamaya çalıştılar.
Bu, çalınan fonları yıkamak için meşru bulut madenciliği hizmetlerinden yararlanmayı içerir.
Grup, gelişmiş sosyal mühendislik teknikleri ile bilinir, genellikle ikna edici sahte kişiler yaratır ve kötü amaçlı yazılım kullanmadan önce hedeflerle uzun vadeli ilişkiler kurar.
Cyfirma’ya göre, operasyonları Kuzey Kore hükümetinin stratejik hedefleriyle yakından uyumlu.
APT43, devlet taleplerine, hükümet ofislerini, diplomatik kuruluşları, düşünce tanklarını ve sağlıkla ilgili sektörlere dayanarak odağını zaman içinde değiştirdi.
Son kampanyalar, istihbarat toplanmasının yanı sıra uyarlanabilirliklerini ve finansal kazanımlara artan vurgularını vurgulamaktadır.
Teknik çerçeve
APT43, MITER ATT & CK çerçevesi altında kategorize edilmiş çok çeşitli teknikler kullanır.
Bunlar keşif (örneğin, T1594), yürütme (T1053.005), savunma kaçırma (T1027), kimlik bilgisi erişim (T1111), yanal hareket (T1550.002) ve komut ve kontrol yöntemlerini (T1071.001) içerir.
Teknik karmaşıklıkları, kimlik bilgisi hırsızlığı ve ayrıcalık artışı gibi yöntemlerle kalıcılığı korurken tespit edilmemiş ağlara sızmalarını sağlar.
Grup ayrıca ortak operasyonlar konusunda diğer Kuzey Kore siber operatörleri ile işbirliği yaptı.
Bu koordinasyon, daha geniş Kuzey Kore siber aparatındaki önemlerinin altını çizmektedir.
Kaynakları ve uzmanlığı müttefik gruplarla birleştirerek APT43, etkisini küresel olarak çeşitli hedefler üzerindeki etkisini güçlendirir.
APT43’ün akademiden kripto para birimi hırsızlığına genişleyen kapsamı, devlet destekli siber tehditlerin artan karmaşıklığını vurgulamaktadır.
Hedeflenen sektörlerdeki kuruluşlar, bu tür gelişmiş tehdit aktörlerinin ortaya koyduğu riskleri azaltmak için sağlam siber güvenlik önlemleri uygulayarak uyanık kalmalıdır.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free