Um ator de ameaças ligado à Coreia do Norte, conhecido por suas operações de espionagem cibernética, expandiu suas ações incluindo ataques motivados financeiramente que envolvem a implantação de ransomware, diferenciando-se de outros grupos de hacking ligados ao Estado-nação.
A Mandiant, empresa pertencente ao Google, está monitorando o cluster de atividades sob o novo codinome APT45, que se sobrepõe a nomes como Andariel, Nickel Hyatt, Onyx Sleet (anteriormente Plutonium), Silent Chollima e Stonefly.
"O APT45 é um operador cibernético norte-coreano de longa data e moderadamente sofisticado que realizou campanhas de espionagem desde o início de 2009", disseram os pesquisadores Taylor Long, Jeff Johnson, Alice Revelli, Fred Plan e Michael Barnhart.
O APT45 tem sido frequentemente observado visando infraestrutura crítica. É importante mencionar que o APT45, juntamente com o APT38 (também conhecido como BlueNoroff), APT43 (também conhecido como Kimsuky) e o Grupo Lazarus (também conhecido como TEMP.Hermit), são elementos dentro do Reconnaissance General Bureau (RGB) da Coreia do Norte, a principal organização de inteligência militar do país.
O APT45 está notavelmente ligado à implantação de famílias de ransomware rastreadas como SHATTEREDGLASS e Maui, visando entidades na Coreia do Sul, Japão e nos EUA em 2021 e 2022.
Detalhes sobre o SHATTEREDGLASS foram documentados pela Kaspersky em junho de 2021.
"É possível que o APT45 esteja realizando crimes cibernéticos motivados financeiramente não apenas em apoio às suas próprias operações, mas para gerar fundos para outras prioridades do estado norte-coreano", disse a Mandiant.
Outro malware proeminente em seu arsenal é um backdoor denominado Dtrack (também conhecido como Valefor e Preft), que foi usado pela primeira vez em um ciberataque direcionado à Usina Nuclear de Kudankulam na Índia em 2019, marcando uma das poucas instâncias públicas conhecidas de atores norte-coreanos atacando infraestrutura crítica.
"O APT45 é um dos operadores cibernéticos mais duradouros da Coreia do Norte, e a atividade do grupo espelha as prioridades geopolíticas do regime, mesmo com operações mudando de espionagem cibernética clássica contra entidades governamentais e de defesa para incluir saúde e ciência agrícola", disse a Mandiant.
À medida que o país tornou-se dependente de suas operações cibernéticas como um instrumento de poder nacional, as operações realizadas pelo APT45 e outros operadores cibernéticos norte-coreanos podem refletir as prioridades em mudança da liderança do país.
As descobertas ocorrem enquanto a empresa de treinamento em conscientização de segurança, KnowBe4, disse ter sido enganada ao contratar um trabalhador de TI da Coreia do Norte como engenheiro de software, que utilizou uma identidade roubada de um cidadão americano e melhorou sua imagem utilizando inteligência artificial (IA).
"Este era um trabalhador de TI norte-coreano habilidoso, apoiado por uma infraestrutura criminosa respaldada pelo estado, usando a identidade roubada de um cidadão dos EUA, participando de várias rodadas de entrevistas por vídeo e contornando processos de verificação de antecedentes comumente utilizados pelas empresas", disse a empresa.
O exército de trabalhadores de TI, avaliado como parte do Departamento da Indústria de Munições do Partido dos Trabalhadores da Coreia, tem uma história de procurar emprego em empresas sediadas nos EUA fingindo estar localizados no país, quando na verdade estão na China e na Rússia e fazendo login remotamente através de laptops fornecidos pela empresa entregues a uma "fazenda de laptops".
A KnowBe4 disse ter detectado atividades suspeitas na estação de trabalho Mac enviada ao indivíduo em 15 de julho de 2024, às 21:55 EST, que consistiam em manipular arquivos de histórico de sessão, transferir arquivos potencialmente nocivos e executar software prejudicial.
O malware foi baixado usando um Raspberry Pi.
Vinte e cinco minutos depois, a empresa de cibersegurança sediada na Flórida disse ter contido o dispositivo do funcionário.
Não há evidências de que o atacante tenha obtido acesso não autorizado a dados ou sistemas sensíveis.
"O golpe é que eles estão de fato realizando o trabalho, recebendo bem e repassando uma grande quantia para a Coreia do Norte para financiar seus programas ilegais", disse o CEO da KnowBe4, Stu Sjouwerman.
Este caso destaca a necessidade crítica de processos de verificação mais robustos, monitoramento contínuo de segurança e melhor coordenação entre RH, TI e as equipes de segurança na proteção contra ameaças persistentes avançadas.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...