Mandiant 将 APT43 组织命名为朝鲜行动

文章来源

Mandiant 警告说，一个新命名的朝鲜间谍组织 APT43 正在大范围盗窃加密货币为其行动提供资金。

自 2018 年以来观察其活动后，该公司已正式将威胁行为者“毕业”到一个指定的组织。

毕业意味着 Mandiant 对其评估有足够的信心，可以将其观察到的活动与特定的参与者群体联系起来，而 APT43 是“自 Mandiant 于 2022 年 9 月宣布 APT42 以来我们的首次正式毕业”公司说 .

在一个新报告 , Mandiant 给出了说服它毕业于 APT43 的属性。

该公司写道：“我们非常有信心地评估 APT43 是一个国家支持的网络运营商，其行为支持朝鲜政府更广泛的地缘政治目标。”

Mandiant 表示，APT43 的目标是利用网络犯罪为其开展间谍活动和收集战略情报的能力提供资金。

“他们最常观察到的操作是由欺骗域和电子邮件地址支持的鱼叉式网络钓鱼活动，作为其社会工程策略的一部分。伪装成合法站点的域被用于凭证收集操作”，报告称。

它主要攻击韩国和美国的目标。

在与报告一起发布的播客中，Mandiant 的朝鲜业务专家 Michael Barnhart 解释说，APT43 的“生计”正在获取有关国际社会对朝鲜武器计划的反应的信息。

“这是一个只关心核武器和外交政策的团体，”他说。

虽然它攻击政府、企业和制造业目标，但最感兴趣的目标是教育、研究或专注于地缘政治和核政策的智囊团等组织。

Mandiant 引用了 Jenny Town 的案例，Jenny Town 是专注于朝鲜的情报出版物 38 North 的负责人，APT43 冒充了 Jenny Town 以了解分析师社区中的可能目标。

加密货币犯罪

其间谍活动的主要资金来源是窃取和洗钱加密货币。 Mandiant 说，盗窃依赖于凭证收集。

例如，它创建了一个恶意 Android 应用程序来针对“最有可能的中国用户”寻求加密货币贷款。

Mandiant 解释说：“该应用程序和关联的域可能会获取凭据”。

它还使用各种恶意软件变体。

报告称，其最著名的活动基于 LATEOP，“基于 VisualBasic 脚本的后门”，但该组织被发现使用 h0st RAT、QUASARRAT 和 AMADE。

它开发了一些自己的多平台工具，包括一个名为 PENCILDOWN 的工具，它是 Windows 下载器的 Android 变体。

报告解释说，“肮脏的加密货币”很容易洗钱：APT43 使用被盗资金购买哈希租赁和云挖矿服务，产生与 APT43 原始付款无关的加密货币。