Mandiant が APT43 グループを北朝鮮の活動と名指し

記事のソース

Mandiant は、新たに名前が付けられた北朝鮮のスパイグループ APT43 が、その活動資金を調達するために広範囲にわたる仮想通貨の窃盗を行っていると警告しています。

同社は、2018 年からその活動を観察しており、脅威アクターを名前付きのグループに正式に「卒業」させました。

卒業とは、Mandiant がその評価に十分な自信を持っており、観察した活動を特定のアクター グループに関連付けることを意味します。会社は言った .

で新しいレポート 、Mandiant は、APT43 を卒業するよう説得した帰属を示しています。

「APT43は、北朝鮮政府のより広範な地政学的目的を支援するために行動する国家支援のサイバーオペレーターであると確信しています」と同社は書いています。

Mandiant 氏によると、APT43 の目的は、サイバー犯罪を利用して、スパイ活動を行い、戦略的情報を収集する能力に資金を提供することです。

「彼らの最も頻繁に観察された活動は、ソーシャル エンジニアリング戦術の一環として、スプーフィングされたドメインと電子メール アドレスによってサポートされているスピア フィッシング キャンペーンです。正当なサイトを装ったドメインは、資格情報の収集操作に使用されます」と報告書は述べています。

主に韓国と米国の標的を攻撃します。

報告書とともに公開されたポッドキャストで、Mandiant の DPRK Operations スペシャリストである Michael Barnhart 氏は、APT43 の「パンとバター」が北朝鮮の兵器計画に対する国際的な対応に関する情報を入手していると説明しました。

「これは核と外交政策だけに関心があるグループだ」と彼は言った。

攻撃対象は政府、企業、製造業ですが、最も関心を集めているのは、地政学的および核政策に焦点を当てた教育、研究、シンクタンク グループなどの組織です。

Mandiant は、北朝鮮に焦点を当てた諜報機関 38 North のディレクターである Jenny Town の事例を引き合いに出しました。

暗号通貨犯罪

スパイ活動の主な資金源は、暗号通貨を盗んで洗浄することです。 Mandiant 氏によると、盗難は資格情報の収集に依存しているという。

たとえば、仮想通貨のローンを求める「中国人ユーザーである可能性が最も高い」ユーザーを標的とする悪意のある Android アプリを作成しました。

「アプリと関連するドメインが資格情報を収集した可能性があります」と Mandiant は説明しました。

また、さまざまなマルウェアの亜種も使用します。

その最もよく知られている活動は、「VisualBasic スクリプトに基づくバックドア」である LATEOP に基づいていますが、このグループは h0st RAT、QUASARRAT、および AMADE を使用していると報告されています。

Windows ダウンローダの Android 版である PENCILDOWN と呼ばれるものなど、独自のマルチプラットフォーム ツールをいくつか開発しました。

「ダーティな暗号通貨」はマネーロンダリングが容易である、とレポートは説明しています。