Il a été révélé qu’un nouveau groupe de piratage nord-coréen ciblait des organisations gouvernementales, des universitaires et des groupes de réflexion aux États-Unis, en Europe, au Japon et en Corée du Sud au cours des cinq dernières années.

L’acteur de menace modérément sophistiqué est suivi sous le nom d' »APT43″ et est considéré comme se livrant à des opérations d’espionnage et de cybercriminalité à motivation financière qui aident à financer ses activités.

Les analystes de Mandiant qui ont divulgué les activités d’APT43 pour la première fois estiment avec une grande confiance que les acteurs de la menace sont parrainés par l’État, alignant leurs objectifs opérationnels sur les objectifs géopolitiques du gouvernement nord-coréen.

« Plus précisément, Mandiant évalue avec une confiance modérée qu’APT43 est attribuable au Bureau général de reconnaissance nord-coréen (RGB), le principal service de renseignement étranger du pays », explique le nouveau rapport de Mandiant.

Les chercheurs suivent APT43 depuis fin 2018, mais n’ont divulgué des détails plus spécifiques sur le groupe de menaces que maintenant.

Espionnage APT43
APT43 a été observé en train de se concentrer brusquement sur ses opérations d’espionnage, ce qui est un signe qu’ils reçoivent des ordres sur leurs cibles, suivant les orientations d’une planification stratégique plus large.

Au fil des ans, il a ciblé des bureaux gouvernementaux, des organisations diplomatiques, des groupes de réflexion, des universités employant des professeurs spécialisés dans les questions de la péninsule coréenne et d’autres organisations critiques en Corée du Sud, aux États-Unis, en Europe et au Japon.

APT43 utilise des e-mails de harponnage de personnes fausses ou usurpées pour approcher leurs cibles, en les envoyant vers des sites Web se faisant passer pour des entités légitimantes. Cependant, ces sites Web contiennent de fausses pages de connexion où les victimes sont amenées à saisir les informations d’identification de leur compte.

Après avoir volé ces informations d’identification, APT43 se connecte en tant que cible pour effectuer lui-même la collecte de renseignements. Ils utilisent également les contacts de la victime pour poursuivre leurs activités de phishing vers d’autres marques.

Faux site Web de l’Université Cornell créé par APT43

« Le groupe s’intéresse principalement aux informations développées et stockées au sein de l’armée et du gouvernement américains, de la base industrielle de défense (DIB) et des politiques de recherche et de sécurité développées par les universités et les groupes de réflexion basés aux États-Unis et axés sur la politique de sécurité nucléaire et la non-prolifération », explique le Rapport mandant.

« APT43 a manifesté son intérêt pour des industries similaires en Corée du Sud, en particulier les organisations à but non lucratif et les universités qui se concentrent sur les politiques mondiales et régionales, ainsi que les entreprises, telles que la fabrication, qui peuvent fournir des informations sur les biens dont l’exportation vers la Corée du Nord a été restreinte. . »

Des exemples de ces biens comprennent les armes, les véhicules de transport, les machines, le carburant et les métaux.

Financer ses propres opérations
APT43 emploie une stratégie semblable à la plupart des groupes menaçants nord-coréens qui opèrent indépendamment du financement de l’État. Au lieu de cela, on s’attend à ce qu’ils maintiennent leurs activités grâce à des cyberopérations à caractère financier.

Mandiant a observé APT43 utiliser des applications Android malveillantes qui ciblent les utilisateurs chinois cherchant à obtenir des prêts en crypto-monnaie et à la place perdent leurs actifs numériques au profit des acteurs de la menace.

La crypto-monnaie volée par APT43 est blanchie par le biais de services de location de hachage et de cloud mining utilisant de nombreux alias, adresses et méthodes de paiement.

La location de hachage permet aux clients de louer une puissance de calcul pour l’extraction de crypto-monnaie, qui peut être payée en crypto. Mandiant dit qu’APT43 utilise ces services pour blanchir la crypto-monnaie volée afin qu’elle ne puisse pas être retracée à des opérations malveillantes.

Blanchiment d’argent par le biais de services de location de hachage

Mandiant rapporte avoir vu le groupe payer pour le matériel et l’infrastructure avec PayPal, les cartes American Express et Bitcoin, probablement tous volés aux victimes.

Les logiciels malveillants et le coréen se chevauchent
Mandiant rapporte que d’autres chercheurs dans le passé ont repéré une activité APT43, mais elle était généralement attribuée à Kimsuky ou Thalium.

En outre, APT43 a été vu utiliser des logiciels malveillants pendant la pandémie de COVID-19 que le groupe de piratage Lazarus utilise également, mais ce chevauchement a été de courte durée.

Dans un autre cas, le groupe de menaces a utilisé l’outil de vol de chiffrement « Lonejogger » qui a été associé à l’acteur de menace UNC1069, susceptible d’être connecté à APT38.

APT43 chevauche d’autres groupes coréens pendant la pandémie

APT43 possède également son propre ensemble de logiciels malveillants personnalisés non utilisés par d’autres acteurs de la menace, comme les téléchargeurs « Pencildown », « Pendown », « Venombite » et « Egghatch », les outils « Logcabin » et « Lateop » (« BabyShark »). , et la porte dérobée « Pendu ».

En dehors de ceux-ci, le groupe de menaces a également déployé des outils accessibles au public tels que « gh0st RAT », « QuasarRAT » et « Amadey ».

Mandiant s’attend à ce qu’APT43 continue d’être un groupe menaçant très actif à moins que la Corée du Nord ne modifie ses priorités nationales.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *