本周,Mandiant 公司发布的一份新报告记录了 APT45 作为一个针对医疗保健提供商、金融机构和能源公司的激进勒索软件组织的出现,有朝鲜官方背景的黑客行动的内部运作变得更加清晰。
这个被命名为 APT45 的组织多年来一直被追踪为Andariel或Silent Chollima,以支持朝鲜战略利益的网络间谍活动而闻名,但最近其业务范围扩大到包括针对非常敏感目标的勒索软件攻击。
APT45针对的目标
Mandiant 的新报告发布之际,美国政府及其盟友发布了一项大规模通报,揭露了朝鲜这个危险黑客组织使用的工具和策略。Mandiant 的一位发言人表示,该公司与包括联邦调查局在内的多个美国政府机构密切合作,追踪该组织获取国防和研发情报的行动。
Mandiant 表示,专家和政府机构对 APT45 窃取一系列武器和工具敏感计划的能力感到震惊,其中包括:
- 重型和轻型坦克和自行榴弹炮
- 轻型攻击车和弹药补给车
- 濒海战斗舰和战斗艇
- 潜艇、鱼雷、无人水下航行器 (UUV) 和自主水下航行器 (AUV)
- 建模和仿真服务
- 战斗机和无人机(UAV)
- 导弹和导弹防御系统
- 卫星、卫星通信和纳米卫星技术
- 监视雷达、相控阵雷达和其他雷达系统
- 铀加工和浓缩
- 材料浪费和储存
- 核电厂
- 政府核设施和研究机构
- 船舶制造和海洋工程
- 机器人机械和机械臂
- 增材制造和 3D 打印组件和技术
- 铸造、制造、高温金属成型、橡胶和塑料成型
- 加工工艺和技术
Mandiant 朝鲜威胁搜寻团队负责人迈克尔·巴恩哈特 (Michael Barnhart) 表示。“APT45 不受道德考量约束,并已证明他们愿意并足够灵活地针对任何实体来实现其目标,包括医院。”
Mandiant 表示,该组织的间谍活动可以追溯到 2009 年,并逐渐扩展为以经济为目的的攻击——其使用勒索软件的特点使其有别于其他朝鲜组织。该组织使用的一些恶意软件与该国其他组织使用的工具集截然不同。
Mandiant 表示,2019 年,该组织瞄准了印度的库丹库拉姆核电站,并补充说,其他核设施和发电厂也成为攻击目标。该组织还于 2020 年攻击了一家跨国公司的作物科学部门,并在过去四年中攻击了多个医疗保健和制药垂直行业。
“我们还相当确信 APT45 参与了勒索软件的开发。”该事件响应公司表示。“该组织针对核相关实体开展了行动,凸显了其在支持朝鲜优先事项方面的作用。”
尽管 Mandiant 谨慎地否认 APT45 是勒索软件攻击的起因,但该公司指出,公开报道称该组织一直在进行金融犯罪。
虽然 Mandiant 无法确认勒索软件是 APT45 武器库的一部分,但它指出,美国政府网络安全机构CISA 警告称,朝鲜背景的攻击者使用MAUI勒索软件针对医疗保健和公共卫生部门。
Mandiant 表示,与朝鲜的大多数黑客团队一样,APT45 恶意软件随着时间的推移表现出明显的共同特征,包括代码的重复使用、独特的自定义编码和密码。
Mandiant 发布了 VirusTotal Collection,其中包含与APT45 相关的攻击指标,以帮助防御者寻找感染迹象。
转自军哥网络安全读报,原文链接:https://mp.weixin.qq.com/s/vsqgskqG5cFtthe–oUA4A
暂无评论内容