انتشار شده در تاریخ 1402/03/21 - 12:45

جعل شرکت های سرمایه گذاری توسط هکرهای کره شمالی

بر اساس تحقیقات جدید، هکرهای مستقر در کره شمالی در حال جعل موسسات مالی و شرکت های سرمایه گذاری خطرپذیر در ایالات متحده، ویتنام و ژاپن هستند.

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، گروه ریکوردد فیوچر اینسیکت (Recorded Future's Insikt Group) این کمپین را به گروه ای پی تی 38 (APT38)، یک گروه تحت حمایت دولتی در کره شمالی که به دلیل چندین حمله رده بالا به شرکت‌های ارزهای دیجیتال و سازمان‌های دیگر بدنام است، مرتبط می داند.
محققان می گویند:

ما 74 دامنه را کشف کرده ایم که به 5 آدرس آی پی و همچنین 6 فایل مخرب در جدیدترین کلاستر فعالیت از سپتامبر 2022 تا مارس 2023 مرتبط می شوند. گزارش قبلی گروه اینسیکت در مورد فعالیت های همپوشانی منتسب به تگ-71 (TAG-71)، جعل دامنه های متعلق به شرکت های مالی در ژاپن، تایوان و ایالات متحده و همچنین سرویس های ابری محبوبی که توسط تعداد زیادی از شرکت ها استفاده می شود را برجسته کرده بود.

در این گزارش اشاره شده است که گروه‌های هکری کره شمالی سابقه طولانی در راه‌اندازی حملات با انگیزه مالی و کمپین‌های نفوذ در صرافی‌های ارزهای دیجیتال، بانک‌های تجاری و سیستم‌های تجارت الکترونیک دارند.
هدف از این کمپین‌ها تقویت اقدامات مستمر دولت کره شمالی برای تأمین بودجه برای رژیمی است که تحت تحریم‌های بین‌المللی قابل توجهی قرار دارد.
میچ هازارد، محقق گروه اینسیکت، می گوید که آنچه بیش از همه از کمپین اخیر متمایز است، جعل شرکت های سرمایه گذاری خطرپذیر می باشد.
او خاطرنشان می کند که گروه ای پی تی38 قبلاً تراکنش‌های مالی بین‌المللی سوئیفت و صرافی‌های ارزهای دیجیتال را هدف قرار داده است.
او می گوید:

هر دو به نوعی هدف مشخصی دارند که «ما اینجا برای سرقت پول هستیم»، اما جعل شرکت‌های سرمایه‌گذاری خطرپذیر، موضوعی جدید و کمی متفاوت است.

در مارس 2022، محققان گفته بودند که 18 سرور مخرب را شناسایی کرده‌اند که توسط هکرهای کره شمالی استفاده می‌شدند که به آنها اجازه می‌داد بدافزارها را ارائه داده و به کلاهبرداری از سرویس‌های ابری محبوب، صرافی‌های ارزهای دیجیتال و شرکت‌های سرمایه‌گذاری خصوصی بپردازند تا قربانیان احتمالی را فریب داده تا محتوای مخرب را اجرا نموده و یا اطلاعات شخصی خود جهت ورود به سیستم را به اشتراک بگذارند.
با هدف قرار دادن بانک‌های سرمایه‌گذاری و شرکت‌های سرمایه‌گذاری خطرپذیر، این گروه قصد دارد اطلاعات حساس یا محرمانه این نهادها یا مشتریان آنها را افشا کند، که ممکن است منجر به اقدامات قانونی یا نظارتی شود و همچنین مذاکرات یا توافق‌های تجاری معلق را به خطر بیندازد، یا اطلاعاتی را که از سبد سرمایه گذاری استراتژیک شرکت آسیب دیده به دست می آورد، در معرض خطر قرار دهد.
در کمپینی که از ژانویه 2023 تا مارس 2023 اجرا شده بود، گروه اینسیکت سه آدرس آی پی دیگر مرتبط با گروه را پیدا کرده بود.
این آدرس‌ها میزبان 21 دامنه بودند که با مضمون‌های رایج مرتبط با نرم‌افزار اسناد مانند «اشتراک‌گذاری اسناد» و «محافظت خودکار» مرتبط هستند، در حالی که چندین دامنه دیگر ظاهراً مؤسسات مالی در ژاپن، ویتنام و ایالات متحده هستند.
چندین آدرس آی پی نیز به یک گروه هکری با انگیزه مالی دیگر که توسط محققان شرکت امنیتی کسپرسکی (Kaspersky) شناسایی شده بود، مرتبط بودند.
به گفته محققان، به دلیل تحریم‌های مالی فلج‌کننده‌ای که کره شمالی با آن مواجه است، هکرهای این کشور احتمالاً به حملات با انگیزه مالی ادامه خواهند داد.