Um novo grupo de hackers norte-coreanos foi revelado como tendo como alvo organizações governamentais, acadêmicas e de grupos de pesquisas nos Estados Unidos, Europa, Japão e Coreia do Sul nos últimos cinco anos.
O ator de ameaça moderadamente sofisticado é rastreado como 'APT43' e é visto envolvido em operações de espionagem e cibercrime financeiramente motivado que ajudam a financiar suas atividades.
Analistas da Mandiant que divulgaram as atividades do APT43 pela primeira vez avaliam com alta confiança que os atores da ameaça são patrocinados pelo estado, alinhando seus objetivos operacionais com os objetivos geopolíticos do governo norte-coreano.
Os pesquisadores estão rastreando o APT43 desde o final de 2018, mas divulgaram detalhes mais específicos sobre o grupo de ameaças apenas agora.
O APT43 foi observado mudando abruptamente o foco de suas operações de espionagem, o que é um sinal de que recebem ordens sobre seus alvos, seguindo as direções do planejamento estratégico mais amplo.
Ao longo dos anos, tem como alvo escritórios governamentais, organizações diplomáticas, entidades de grupos de reflexão, universidades empregando professores especializados em assuntos da península coreana e outras organizações críticas na Coreia do Sul, Estados Unidos, Europa e Japão.
O APT43 usa e-mails de spear-phishing de personas falsas ou spoofed para se aproximar de seus alvos, enviando-os para sites que fingem ser entidades legítimas.
No entanto, esses sites contêm páginas falsas de login onde as vítimas são enganadas a inserir suas credenciais de conta.
Tendo roubado essas credenciais, o APT43 faz login como o alvo para realizar a coleta de inteligência eles mesmos.
Eles também usam os contatos da vítima para ampliar suas atividades de phishing para outros alvos.
"O grupo está principalmente interessado em informações desenvolvidas e armazenadas dentro do governo e do exército americano, da base industrial de defesa (DIB) e das políticas de pesquisa e segurança desenvolvidas pela academia americana e grupos de reflexão focados em política de segurança nuclear e não proliferação", explica o relatório da Mandiant.
"O APT43 demonstrou interesse em indústrias semelhantes na Coreia do Sul, especificamente organizações sem fins lucrativos e universidades que se concentram em políticas globais e regionais, bem como empresas, como fabricantes, que podem fornecer informações sobre bens cuja exportação para a Coreia do Norte foi restrita."
O APT43 emprega uma estratégia semelhante à maioria dos grupos de ameaças norte-coreanos que operam independentemente do financiamento estatal.
Em vez disso, espera-se que sustentem suas atividades por meio de operações cibernéticas financeiramente motivadas.
A Mandiant observou o APT43 usando aplicativos Android maliciosos que visam usuários chineses que procuram empréstimos de criptomoedas e, em vez disso, perdem seus ativos digitais para os atores da ameaça.
A criptomoeda roubada pelo APT43 é lavada por meio de serviços de mineração de hash e nuvem usando muitos pseudônimos, endereços e métodos de pagamento.
O aluguel de hash permite que os clientes aluguem poder computacional para mineração de criptomoedas, que pode ser pago em criptomoeda.
A Mandiant diz que o APT43 usa esses serviços para lavar criptomoedas roubadas para que não possam ser rastreadas de volta a operações maliciosas.
A Mandiant relata ver o grupo pagando por hardware e infraestrutura com PayPal, cartões American Express e Bitcoin, provavelmente todos roubados das vítimas.
A Mandiant relata que outros pesquisadores no passado viram a atividade do APT43, mas ela foi geralmente atribuída ao Kimsuky ou Thalium.
Além disso, o APT43 foi visto utilizando malware durante a pandemia COVID-19 que o grupo de hackers Lazarus também usa, mas essa sobreposição foi de curta duração.
Em outra instância, o grupo de ameaças usou a ferramenta de criptografia "Lonejogger" que foi associada ao ator de ameaça UNC1069, provavelmente conectado ao APT38.
O APT43 também possui seu próprio conjunto de malware personalizado não utilizado por outros atores de ameaças, como os downloaders "Pencildown", "Pendown", "Venombite" e "Egghatch", as ferramentas "Logcabin" e "Lateop" ("BabyShark") e o backdoor "Hangman".
Além desses, o grupo de ameaças também implantou ferramentas publicamente disponíveis como "gh0st RAT", "QuasarRAT" e "Amadey".
A Mandiant espera que o APT43 continue sendo um grupo de ameaça altamente ativo, a menos que a Coreia do Norte mude as prioridades nacionais.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...