Mandiant, APT43 그룹을 북한 작전으로 지정

기사 출처

Mandiant는 새로 명명된 북한 스파이 그룹인 APT43이 활동 자금을 마련하기 위해 광범위한 암호화폐 절도를 시도하고 있다고 경고했습니다.

이 회사는 2018년 이후 활동을 관찰하면서 공식적으로 위협 행위자를 명명된 그룹으로 "졸업"했습니다.

졸업은 Mandiant가 관찰하는 활동을 정의된 행위자 그룹과 연관시킬 수 있는 평가에 충분히 자신이 있음을 의미하며, APT43은 "Mandiant가 2022년 9월에 APT42를 발표한 이후 첫 공식 졸업"입니다.회사는 말했다 .

안에새 보고서 , Mandiant는 APT43을 졸업하도록 확신시킨 속성을 제공합니다.

회사는 "우리는 APT43이 북한 정부의 광범위한 지정학적 목표를 지원하기 위해 활동하는 국가 지원 사이버 운영자라고 확신합니다."라고 밝혔습니다.

Mandiant는 APT43의 목표가 사이버 범죄를 이용해 스파이 활동을 수행하고 전략적 정보를 수집할 수 있는 자금을 조달하는 것이라고 말했습니다.

“가장 자주 관찰되는 작업은 사회 공학 전술의 일부로 스푸핑된 도메인과 이메일 주소로 지원되는 스피어 피싱 캠페인입니다. 합법적인 사이트로 위장한 도메인이 자격 증명 수집 작업에 사용됩니다.”라고 보고서는 말했습니다.

주로 한국과 미국을 공격합니다.

보고서와 함께 게시된 팟캐스트에서 Mandiant의 북한 작전 전문가인 Michael Barnhart는 APT43의 "빵과 버터"가 북한의 무기 프로그램에 대한 국제적 대응에 대한 정보를 얻고 있다고 설명했습니다.

그는 "이는 핵무기와 외교 정책에만 관심이 있는 그룹"이라고 말했다.

정부, 기업 및 제조업 대상을 공격하지만 가장 관심을 끄는 대상은 교육, 연구 또는 지정학적 정책 및 핵 정책에 초점을 맞춘 싱크 탱크 그룹과 같은 조직입니다.

Mandiant는 APT43이 분석가 커뮤니티에서 가능한 대상에 대해 알아보기 위해 사칭한 북한 관련 정보 출판물 38 North의 이사인 Jenny Town의 사례를 인용했습니다.

암호화폐 범죄

간첩 자금의 주요 출처는 암호 화폐를 훔치고 세탁하는 것입니다. 도난은 자격 증명 수집에 의존한다고 Mandiant는 말했습니다.

예를 들어 암호화폐 대출을 원하는 "가장 가능성이 높은 중국 사용자"를 대상으로 하는 악성 Android 앱을 만들었습니다.

Mandiant는 “앱과 연결된 도메인이 자격 증명을 수집했을 것입니다.”라고 설명했습니다.

또한 다양한 맬웨어 변종을 사용합니다.

가장 잘 알려진 활동은 "VisualBasic 스크립트 기반 백도어"인 LATEOP를 기반으로 하지만 h0st RAT, QUASARRAT 및 AMADE를 사용하는 것으로 나타났습니다.

Windows 다운로더의 Android 변형인 PENCILDOWN이라는 이름을 포함하여 자체 멀티플랫폼 도구 중 일부를 개발했습니다.

"더러운 암호화폐"는 세탁하기 쉽다고 보고서는 설명했습니다. APT43은 훔친 자금을 사용하여 해시 렌탈 및 클라우드 마이닝 서비스를 구입하여 APT43의 원래 지불과 관련되지 않은 암호화폐를 생성합니다.