Haker povezan sa Sjevernom Korejom poznat po svojim operacijama cyber špijunaže postupno se proširio na financijski motivirane napade koji uključuju postavljanje ransomwarea, što ga izdvaja od drugih hakerskih grupa nacionalnih država povezanih sa zemljom.
Mandiant u vlasništvu Google-a prati klaster aktivnosti pod novim imenom APT45 , koji se preklapa s imenima kao što su Andariel, Nickel Hyatt, Onyx Sleet (ranije Plutonium), Silent Chollima i Stonefly.
“APT45 je dugotrajni, umjereno sofisticirani sjevernokorejski cyber operater koji je provodio špijunske kampanje još 2009.”, rekli su istraživači Taylor Long, Jeff Johnson, Alice Revelli, Fred Plan i Michael Barnhart . “APT45 je najčešće primećen cilj koji cilja kritičnu infrastrukturu.”
Vrijedi spomenuti da su APT45, zajedno sa APT38 (aka BlueNoroff), APT43 (aka Kimsuky) i Lazarus Group (aka TEMP.Hermit), elementi unutar Sjevernokorejskog Generalnog biroa za izviđanje (RGB), glavne vojne obavještajne organizacije u zemlji.
APT45 je posebno povezan sa implementacijom ransomware porodica praćenih kao SHATTEREDGLASS i Maui koji ciljaju entitete u Južnoj Koreji, Japanu i SAD-u 2021. i 2022. Detalje SHATTEREDGLASS-a je dokumentovao Kaspersky u junu 2021. godine.
“Moguće je da APT45 provodi financijski motiviran cyber kriminal ne samo u svrhu podrške vlastitim operacijama, već i za generisanja sredstava za druge prioritete sjevernokorejske države”, rekao je Mandiant.
Još jedan istaknuti zlonamjerni softver u njegovom arsenalu je backdoor pod nazivom Dtrack (aka Valefor i Preft), koji je prvi put korišten u cyber napadu usmjerenom na nuklearnu elektranu Kudankulam u Indiji 2019. godine, označavajući jedan od rijetkih javno poznatih primjera sjevernokorejskih hakera. udarna kritična infrastruktura.
“APT45 je jedan od najdugovječnijih cyber operatera u Sjevernoj Koreji, a aktivnosti grupe odražavaju geopolitičke prioritete režima, iako su se operacije pomaknule sa klasične cyber špijunaže protiv vladinih i odbrambenih entiteta na zdravstvenu zaštitu i nauku o usjevima”, rekao je Mandiant.
“Kako se zemlja oslanja na svoje cyber operacije kao instrument nacionalne moći, operacije koje izvode APT45 i drugi sjevernokorejski cyber operateri mogu odražavati promjenjive prioritete rukovodstva zemlje.”
Nalazi dolaze nakon što je firma za obuku o sigurnosti KnowBe4 rekla da je prevarena da zaposli IT radnika iz Sjeverne Koreje kao softverskog inženjera, koji je koristio ukradeni identitet američkog državljanina i poboljšao njihovu sliku pomoću umjetne inteligencije (AI).
“Ovo je bio vješti sjevernokorejski IT radnik, podržan kriminalnom infrastrukturom koju podržava država, koristeći ukradeni identitet američkog državljanina koji je učestvovao u nekoliko rundi video intervjua i zaobilazio procese provjere prošlosti koje obično koriste kompanije”, saopštila je kompanija.
Armija IT radnika, za koju se procjenjuje da je dio Odjeljenja za industriju municije Radničke partije Koreje, ima istoriju traženja posla u američkim firmama pretvarajući se da se nalaze u zemlji dok su zapravo u Kini i Rusiji i seče drveće. u daljinski putem laptopa koje je izdala kompanija isporučenih na “farmu laptopa”.
KnowBe4 je rekao da je otkrio sumnjive aktivnosti na Mac radnoj stanici poslane osobi 15. jula 2024. u 21:55 EST, a koje su se sastojale od manipulacije datotekama historije sesije, prijenosa potencijalno štetnih datoteka i izvršavanja štetnog softvera. Zlonamjerni softver je preuzet pomoću Raspberry Pi.
Dvadeset pet minuta kasnije, kompanija za cyber sigurnost sa sjedištem u Floridi rekla je da sadrži uređaj zaposlenika. Nema dokaza da je napadač dobio neovlašteni pristup osjetljivim podacima ili sistemima.
“Prevara je u tome što oni zapravo rade posao, dobro su plaćeni i daju veliki iznos Sjevernoj Koreji za finansiranje njihovih ilegalnih programa”, rekao je izvršni direktor KnowBe4 Stu Sjouwerman .
“Ovaj slučaj naglašava kritičnu potrebu za robusnijim procesima provjere, kontinuiranim sigurnosnim nadzorom i poboljšanom koordinacijom između HR, IT i sigurnosnih timova u zaštiti od naprednih upornih prijetnji.”
Izvor:The Hacker News