Аналитики Mandiant разоблачили хакерскую группу APT43, которую | SecAtor

Аналитики Mandiant разоблачили хакерскую группу APT43, которую они отслеживали на протяжении последних пяти лет и связывали с Kimsuky или Thalium.

Группа нацелена на правительственные и исследовательские организации в США, Европе, Японии и Южной Корее, и участвуя в шпионаже и финансово мотивированных кибератаках для финансирования своей деятельности.

Mandiant с высокой степенью уверенности полагают, что за АРТ может стоять Генеральное бюро разведки Северной Кореи (RGB), а цели субъекта угрозы согласовываются с национальными геополитическими интересами.

При этом резкая смена целей шпионских операций является признаком того, что они получают приказы по своим целям, следуя направлениям более широкого стратегического планирования.

APT43 использует фишинговые электронные письма от вымышленных должностных лиц, перенаправляя их на подконтрольные сайты-приманки, которые содержат фальшивые страницы входа, заставляя жертв обманом вводить свои учетные данные.

С их помощью APT43 авторизуется в целевых системах и ведет сбор разведданных. Кроме того, используют контакты жертвы для продвижения своей фишинговой активности на других.

АРТ в первую очередь заинтересована в информации вооруженных сил и правительства США, включая хранимую в оборонно-промышленной базе (DIB), а также сборе результатов исследований американских ученых и аналитиков, занимающихся вопросами ядерной безопасности.

Также APT43 проявляет интерес к аналогичным некоммерческим организациям и университетам в Южной Корее, которые занимаются глобальной и региональной политикой, а также к производственным предприятиям, специализирующимся на продукции, ограниченной в экспорте в Северную Корею, включая оружие, машиностроение, топливо и металлы.

APT43 использует стратегию, схожую с большинством северокорейских группировок, добывающих финансовые активы для обеспечения своей активности. Mandiant наблюдал, как субъект использует вредоносные Android-приложения, которые нацелены на китайских пользователей криптовалюты.

Украденная APT43 крипта отмывается через миксеры и сервисы облачного майнинга с использованием подставных псевдонимов, адресов и способов оплаты для затруднения отсеивания транзакций.

Оплата за оборудование и инфраструктуру производилась с помощью PayPal, American Express и краденных биткойнов.

Во ходе пандемии COVID-19 APT43 использовала вредоносное ПО, состоявшее на вооружении у Lazarus, но это совпадение было недолгим.

В другом случае группа применяла инструмент для кражи криптовалют Lonejogger, который был связан с UNC1069, в свою очередь, - с APT38.

APT43 также имеет собственный уникальный набор пользовательских вредоносных программ, включающий загрузчики Pencildown, Pendown, Venombite и Egghatch, инструменты Logcabin и Lateop (BabyShark), а также бэкдор Hangman.

Помимо этого, группа угроз также разворачивала и общедоступные инструменты, такие как gh0st RAT, QuasarRAT и Amadey.

Mandiant ожидает, что APT43 будет продолжать участвовать в операциях в течение более длительных периодов времени, сотрудничая с другими северокорейскими АРТ в многочисленных операциях, что подчеркивает важную роль, которую группа играет в кибераппарате северокорейцев.