Mandiant chỉ đích danh nhóm APT43 là hoạt động của Triều Tiên

Nguồn bài viết

Mandiant đang cảnh báo rằng một nhóm gián điệp mới của Bắc Triều Tiên, APT43, đang thực hiện hành vi trộm cắp tiền điện tử trên diện rộng để tài trợ cho các hoạt động của mình.

Công ty đã chính thức “phân loại” các tác nhân đe dọa thành một nhóm có tên, sau khi quan sát hoạt động của nhóm này từ năm 2018.

Tốt nghiệp có nghĩa là Mandiant đủ tự tin trong đánh giá của mình để liên kết các hoạt động mà nó quan sát được với một nhóm tác nhân xác định và APT43 là “sự tốt nghiệp chính thức đầu tiên của chúng tôi kể từ khi Mandiant công bố APT42 vào tháng 9 năm 2022,”công ty cho biết .

trong mộtbáo cáo mới , Mandiant đưa ra quy kết đã thuyết phục nó tốt nghiệp APT43.

“Chúng tôi đánh giá với độ tin cậy cao rằng APT43 là nhà điều hành mạng được nhà nước tài trợ, hoạt động để hỗ trợ các mục tiêu địa chính trị rộng lớn hơn của chính phủ Triều Tiên”, công ty viết.

Mục đích của APT43, Mandiant cho biết, là sử dụng tội phạm mạng để tài trợ cho khả năng thực hiện hoạt động gián điệp và thu thập thông tin tình báo chiến lược.

“Các hoạt động được theo dõi thường xuyên nhất của họ là các chiến dịch lừa đảo trực tuyến được hỗ trợ bởi các tên miền và địa chỉ email giả mạo như một phần của chiến thuật kỹ thuật xã hội của họ. Các tên miền giả dạng trang web hợp pháp được sử dụng trong các hoạt động thu thập thông tin xác thực”, báo cáo cho biết.

Nó chủ yếu tấn công các mục tiêu Hàn Quốc và Hoa Kỳ.

Trong một podcast được xuất bản cùng với báo cáo, Michael Barnhart, chuyên gia Hoạt động tại CHDCND Triều Tiên của Mandiant, giải thích rằng “cơn ngon” của APT43 là thu thập thông tin về các phản ứng quốc tế đối với chương trình vũ khí của Triều Tiên.

Ông nói: “Đây là một nhóm chỉ quan tâm đến vũ khí hạt nhân và chính sách đối ngoại.

Trong khi nó tấn công các mục tiêu chính phủ, doanh nghiệp và sản xuất, các mục tiêu đáng quan tâm nhất là các tổ chức như giáo dục, nghiên cứu hoặc các nhóm chuyên gia cố vấn tập trung vào chính sách địa chính trị và hạt nhân.

Mandiant đã trích dẫn trường hợp của Jenny Town, giám đốc ấn phẩm tình báo tập trung vào Triều Tiên 38 North, người mà APT43 đã mạo danh để tìm hiểu về các mục tiêu có thể có trong cộng đồng phân tích.

tội phạm tiền điện tử

Nguồn tài trợ chính cho hoạt động gián điệp của nó là đánh cắp và rửa tiền điện tử. Mandiant cho biết hành vi trộm cắp dựa trên việc thu thập thông tin xác thực.

Ví dụ: nó đã tạo ra một ứng dụng Android độc hại để nhắm mục tiêu “rất có thể là người dùng Trung Quốc” đang tìm kiếm các khoản vay tiền điện tử.

Mandiant giải thích: “Ứng dụng và miền được liên kết có thể đã thu thập thông tin đăng nhập.

Nó cũng sử dụng nhiều biến thể của phần mềm độc hại.

Báo cáo cho biết hoạt động nổi tiếng nhất của nhóm dựa trên LATEOP, “một cửa hậu dựa trên các tập lệnh VisualBasic”, nhưng nhóm này đã bị phát hiện sử dụng h0st RAT, QUASARRAT và AMADE.

Nó đã phát triển một số công cụ đa nền tảng của riêng mình, bao gồm một công cụ có tên là PENCILDOWN, một biến thể Android của trình tải xuống Windows.

“Tiền điện tử bẩn” rất dễ rửa, báo cáo giải thích: APT43 sử dụng số tiền bị đánh cắp để mua các dịch vụ cho thuê hàm băm và khai thác trên nền tảng đám mây, mang lại tiền điện tử không liên quan đến các khoản thanh toán ban đầu của APT43.