Mandiant, yeni adlandırılan Kuzey Koreli casusluk grubu APT43’ün operasyonlarını finanse etmek için yaygın kripto para hırsızlığı yaptığı konusunda uyarıda bulunuyor.
Şirket, 2018’den beri faaliyetlerini gözlemleyerek, tehdit aktörlerini adlandırılmış bir gruba resmi olarak “mezun etti”.
Mezuniyet, Mandiant’ın gözlemlediği faaliyetleri belirli bir aktör grubuyla ilişkilendirmek için değerlendirmesinden yeterince emin olduğu anlamına gelir ve şirket, APT43’ün “Mandiant’ın APT42’yi Eylül 2022’de duyurmasından bu yana ilk resmi mezuniyetimiz” olduğunu söyledi.
Yeni bir raporda Mandiant, kendisini APT43’ten mezun olmaya ikna eden niteliği veriyor.
Şirket, “APT43’ün Kuzey Kore hükümetinin daha geniş jeopolitik hedeflerini desteklemek için hareket eden devlet destekli bir siber operatör olduğunu büyük bir güvenle değerlendiriyoruz” diye yazdı.
Mandiant, APT43’ün amacının siber suçları casusluk yürütme ve stratejik istihbarat toplama yeteneğini finanse etmek için kullanmak olduğunu söyledi.
“En sık gözlemlenen operasyonları, sosyal mühendislik taktiklerinin bir parçası olarak sahte etki alanları ve e-posta adresleri tarafından desteklenen hedef odaklı kimlik avı kampanyalarıdır. Etki alanları
Raporda, meşru siteler gibi görünmek, kimlik bilgileri toplama operasyonlarında kullanılıyor ”dedi.
Çoğunlukla Güney Kore ve ABD hedeflerine saldırır.
Mandiant’ın DPRK Operasyonları uzmanı Michael Barnhart, haberle birlikte yayınlanan bir podcast’te, APT43’ün “ekmek ve tereyağı”nın Kuzey Kore’nin silah programına uluslararası tepkiler hakkında bilgi aldığını açıkladı.
“Bu, yalnızca nükleer silahlar ve dış politikayla ilgilenen bir grup” dedi.
Devlete, iş dünyasına ve üretim hedeflerine saldırırken, en çok ilgilenilen hedefler eğitim, araştırma veya jeopolitik ve nükleer politikaya odaklanan düşünce kuruluşu gruplarıdır.
Mandiant, APT43’ün analist topluluğundaki olası hedefleri öğrenmek için kimliğine büründüğü Kuzey Kore odaklı istihbarat yayını 38 North’un direktörü Jenny Town’ın durumundan alıntı yaptı.
Kripto para suçları
Casusluk için ana finansman kaynağı, kripto para birimini çalmak ve aklamaktır. Mandiant, hırsızlığın kimlik bilgilerinin toplanmasına dayandığını söyledi.
Örneğin, kripto para kredisi arayan “büyük olasılıkla Çinli kullanıcıları” hedefleyen kötü amaçlı bir Android uygulaması oluşturdu.
Mandiant, “Uygulama ve ilişkili bir etki alanı muhtemelen kimlik bilgilerini topladı”, diye açıkladı.
Ayrıca çok çeşitli kötü amaçlı yazılım türevleri kullanır.
En iyi bilinen faaliyeti, “VisualBasic betiklerine dayalı bir arka kapı” olan LATEOP’a dayanmaktadır, ancak rapora göre grubun h0st RAT, QUASARRAT ve AMADE kullandığı görülmüştür.
Bir Windows indiricisinin Android çeşidi olan PENCILDOWN adlı biri de dahil olmak üzere kendi çoklu platform araçlarından bazılarını geliştirdi.
Raporda, “Kirli kripto para biriminin” aklanmasının kolay olduğu açıklandı: APT43, çalınan fonları hash kiralama ve bulut madenciliği hizmetleri satın almak için kullanıyor ve APT43’ün orijinal ödemeleriyle ilişkili olmayan kripto para birimi sağlıyor.