Yeni bir Kuzey Kore ulus-devlet siber operatörü, 2018’den bu yana Pyongyang’ın jeopolitik çıkarlarıyla uyumlu stratejik istihbarat toplamak için düzenlenen bir dizi kampanyaya atfedildi.
Etkinlik kümesini takma adla izleyen Google’a ait Mandiant APT43grubun motivasyonlarının hem casusluk hem de finansal olarak motive edildiğini, kimlik bilgileri toplama ve sosyal mühendislik gibi tekniklerden yararlandığını söyledi.
Saldırı kampanyalarının parasal yönü, tehdit aktörünün “birincil görevi olan stratejik istihbarat toplama” görevini yerine getirmek için fon yaratma girişimidir.
Mağduriyet modelleri, hedeflemenin hükümet, eğitim, araştırma, politika enstitüleri, iş hizmetleri ve imalat sektörlerini kapsayan Güney Kore, ABD, Japonya ve Avrupa’ya odaklandığını göstermektedir.
Tehdit aktörünün ayrıca Ekim 2020’den Ekim 2021’e kadar sağlıkla ilgili sektörleri ve ilaç şirketlerini vurarak rotasından saptığı gözlemlendi ve bu da öncelikleri hızla değiştirme becerisinin altını çizdi.
Mandiant araştırmacıları Salı günü yayınlanan ayrıntılı bir teknik raporda, “APT43, Kuzey Kore rejiminin çıkarlarını destekleyen üretken bir siber operatördür.” Dedi.
“Grup, özellikle Kore yarımadasının jeopolitik meselelerine odaklanan Güney Koreli ve ABD merkezli hükümet kuruluşlarına, akademisyenlere ve düşünce kuruluşlarına karşı orta derecede gelişmiş teknik yetenekleri agresif toplum mühendisliği taktikleriyle birleştiriyor.”
APT43’ün faaliyetlerinin, Kuzey Kore’nin dış istihbarat teşkilatı olan Keşif Genel Bürosu (RGB) ile uyumlu olduğu söyleniyor ve bu, Kimsuky (diğer adıyla Black Banshee, Thallium veya Velvet Chollima) adlı başka bir bilgisayar korsanlığı grubuyla taktik örtüşmelere işaret ediyor.
Dahası, Lazarus Group (aka TEMP.Hermit) gibi RGB içindeki diğer bağımlı rakip sendikalarla önceden ilişkilendirilmiş araçlar kullanılarak gözlemlenmiştir.
APT43 tarafından kurulan saldırı zincirleri, kurbanları ayartmak için özel yemler içeren hedef odaklı kimlik avı e-postalarını içerir. Bu mesajlar, güvenlerini kazanmak için hedefin uzmanlık alanındaki kilit kişiler kılığına giren sahte ve sahte kişiler kullanılarak gönderilir.
Ayrıca, daha fazla hedef belirlemek ve saldırı altyapısını finanse etmek için kripto para çalmak için güvenliği ihlal edilmiş kişilerden çalınan kişi listelerinden yararlandığı da biliniyor. Çalınan dijital varlıklar daha sonra adli tıp izini gizlemek ve onları temiz kripto para birimine dönüştürmek için hash kiralama ve bulut madenciliği hizmetleri kullanılarak aklanıyor.
Saldırıların nihai amacı, çok çeşitli meşru hizmetleri taklit eden alanlar aracılığıyla kimlik bilgisi toplama kampanyalarını kolaylaştırmak ve toplanan verileri çevrimiçi kişiler oluşturmak için kullanmaktır.
Mandiant, “Kuzey Koreli gruplar arasında, hatta tarihsel olarak siber casusluğa odaklanmış olanlar arasında bile, finansal olarak motive edilen faaliyetlerin yaygınlığı, kendi kendini finanse etmek için yaygın bir yetki ve ek kaynak olmaksızın kendilerini sürdürme beklentisini ortaya koyuyor” dedi.
APT43’ün işlemleri, LATEOP (namı diğer BabyShark), FastFire, gh0st RAT, Quasar RAT, Amadey ve PENCILDOWN adlı Windows tabanlı bir indiricinin Android sürümü gibi büyük bir özel ve halka açık kötü amaçlı yazılım cephaneliği aracılığıyla gerçekleştirilir.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
KOLTUĞUNUZU AYIRTIN
Bulgular, Alman ve Güney Kore hükümet kurumlarının, kullanıcıların Gmail gelen kutularını çalmak için haydut tarayıcı uzantıları kullanan Kimsuky tarafından düzenlenen siber saldırılar hakkında uyarıda bulunmasından bir haftadan kısa bir süre sonra geldi.
Tehdit istihbaratı firması, “APT43, Pyongyang liderliğinin taleplerine son derece duyarlıdır,” dedi ve grubun “yüksek tempolu bir faaliyet sürdürdüğünü” kaydetti.
“Hükümet, askeri ve diplomatik kuruluşlara karşı mızraklı kimlik avı ve kimlik bilgilerinin toplanması grubun temel görevleri olmasına rağmen, APT43 nihai olarak hedeflemesini ve taktiklerini, tekniklerini ve prosedürlerini sponsorlarına uyacak şekilde değiştirir; rejimi destekliyoruz.”