Google Cloud’un Mandiant’ındaki tehdit araştırmacıları, Kuzey Kore dışındaki bir siber suç faaliyeti kampanyasını, altı ay içindeki ilk resmi “yükseltmesinde” yeni atanan gelişmiş kalıcı tehdit aktörü APT43’e bağladı.
Mandiant, APT43’ün Kuzey Kore rejimi adına faaliyet gösteren üretken bir tehdit aktörü olduğunu ve yoksul ve tecrit edilmiş devletten faaliyet gösteren diğer birçok grup gibi, ticaret stokunun mali amaçlı siber suç olduğunu söyledi.
Araştırmacıları, 2018’den beri grubun faaliyetlerini takip ediyor, tonlarca araştırma verisini inceliyor ve çeşitli olaylar arasındaki noktaları birleştiriyor, ancak ancak şimdi resmi bir atıf yapabilmek için yeterli kanıt topladı.
APT43’ün öncelikleri, Kuzey Kore’nin dış istihbarat birimi Keşif Genel Bürosu’nun (RGB) misyonuyla uyumludur ve birincil odak noktası, merkezi hükümetin harcama ihtiyacını azaltacak şekilde operasyonel altyapı satın almak için kripto para biriminin aklanmasıdır. gerekli fonlar. Bu, devletin Juche’nin kendine güvenme ideolojisiyle uyumludur.
Hedeflemesi şimdiye kadar esas olarak Güney Kore, Japonya, Avrupa ve ABD’deki hükümet, iş dünyası ve imalat da dahil olmak üzere çok çeşitli sektörlerdeki hedeflere yönelikti. Diğer pek çok Kuzey Kore gelişmiş kalıcı tehdidi (APT’ler) gibi, aynı zamanda eğitim ve araştırma kurumlarını ve bölgesel jeopolitik ve özellikle nükleer politikayla ilgilenen siyasi düşünce kuruluşları gibi kuruluşları da hedefler.
Mandiant baş analisti Michael Barnhart, “Avrupa’da bu grupla ilgili endişeler, ABD’de daha yaygın olan gelir getirici faaliyetlerden çok casusluk tarafına odaklanmalıdır” dedi.
“Pandemi sırasında APT43’ün bazı bölümlerinin, stratejik nükleer ve dış ilişkiler çabalarını çevreleyen yetkilerine ek olarak Covid-19 aşısıyla ilgili bilgileri elde etmek gibi ikincil hedefleri vardı, bu nedenle düşünce kuruluşlarını ve politika oluşturan kuruluşları, dış ilişkiler kuruluşlarını ve Avrupa’daki yönetim organları bu hedefe ulaşmaya çalışmak.
“Kuzey Kore rejimini ilgilendiren istihbarat konularını araştırmak için gazeteci kılığına giren grubun Avrupalı kuruluşları hedef aldığını da gördük. Bu bilgi arama mesajlarından bazıları yük içermez ve yalnızca bir ilişki kurmayı amaçlar, ancak diğerlerinde kötü amaçlı yazılım yüklü belgeler veya saldırganlara geri göndermek için bir haber anketi biçiminde bağlantılar bulunur,” dedi Barnhart.
“APT43’ün bu sahte muhabir e-postalarında son derece başarılı olduğunu gördük ve hedeflerden yanıt almada yüksek başarı oranları sağladı. Bu, konuştuğunuz kişilerin adreslerini ve kimliklerini doğrulamak için bir hatırlatma işlevi görüyor.”
Mandiant, APT43’ün kurbanlarını tehlikeye atmak için kimlik avı e-postaları ve sosyal mühendislik taktikleri kullandığını ve sıfır gün istismarlarıyla aktif olarak ilgilenmiyor gibi göründüğünü söyledi.
Grubun, sosyal mühendislikte kullandığı çok sayıda sahte veya düpedüz sahte kişilik yarattığı gözlemlendi ve operatörleri genellikle kendilerini hedef bölgelerinde yüksek profilli diplomatlar veya jeopolitik analistler gibi kilit kişiler olarak sunuyor.
“Kuzey Kore’nin siber yeteneklerine giderek daha fazla bağımlı hale geldiğine ve APT43’ün kalıcı ve sürekli gelişen operasyonlarının, ülkenin sürekli yatırımını ve APT43 gibi gruplara güvenini yansıttığına inanıyoruz”
Mandiant araştırmacılar
Hedeflerini kandırmak için ikna edici hesaplar ve etki alanları oluşturmak için bu tür kişiler hakkında çalınan kişisel olarak tanımlanabilir bilgileri (PII) kullanır.
Ayrıca, ödeme yöneticileri için operasyonel araç ve BT altyapısını satın almak için gizli kimlikler oluşturur.
Kötü amaçlı yazılım kullandığı durumlarda, APT43’ün gh0st RAT, QUASARRAT, Amadey ve LATEOP VisualBasic arka kapısı dahil olmak üzere halka açık araçlardan oluşan nispeten büyük bir araç setini kullandığı gözlemlenmiştir, ancak aynı zamanda şirket içinde kendi türevlerini, özellikle bir Android’i geliştirdiği görülmüştür. PENCILDOWN Windows tabanlı indiricinin bir çeşidi.
Nihayetinde, APT43’ün amacı, çaldığı kripto para birimini, hash gücü sağlamak için hash kiralama ve bulut madenciliği hizmetleri satın almak için kullanmak gibi görünüyor ve daha sonra orijinal ödemeleriyle herhangi bir blockchain tabanlı ilişkilendirme olmadan kendi seçtiği bir cüzdanda kripto para madenciliği yapmak için kullanıyor. Etkili bir şekilde, temiz fonlar oluşturmak için çalınan fonları kullanarak kripto para birimini aklamaktadır.
Mandiant, grubun açıkça kendi kendine yetebildiğini ve kendi operasyonlarını finanse edebildiğini ve Kuzey Kore’nin önceliklerinde köklü bir değişikliğin veya rejiminin düşmesinin engellenmesi halinde casusluk kampanyaları ve mali amaçlı faaliyetler yürütmede verimli olmaya devam edeceğini söyledi. hedefleri.
“Kuzey Kore’nin siber yeteneklerine giderek daha fazla bağımlı hale geldiğine ve APT43’ün ısrarlı ve sürekli gelişen operasyonlarının ülkenin sürdürülebilir yatırımını ve APT43 gibi gruplara güvenmek, ”diye bitirdi araştırma ekibi.
“Grubun sağlık ve ilaçla ilgili hedeflemeye yönelik ani ama geçici kaymasının da gösterdiği gibi, APT43, Pyongyang liderliğinin taleplerine oldukça duyarlıdır.
“Hükümete karşı hedefli kimlik avı ve kimlik bilgilerinin toplanmasına rağmen, ordu ve diplomatik örgütler grubun temel görevleri olmuştur, APT43 nihai olarak hedeflemesini ve taktiklerini, tekniklerini ve rejimi desteklemek için gerektiğinde mali saiklerle siber suçlar işlemek de dahil olmak üzere, sponsorlarına uygun prosedürler” diye eklediler.
Güvenlik ihlali göstergeleri (IoC’ler) dahil olmak üzere APT43 hakkında daha fazla bilgi buradan indirilebilir.