انتشار شده در تاریخ 1400/09/11 - 08:50

هکرهای کره شمالی، عامل طیف وسیعی از کمپین های سرقت داده هویتی

محققین شرکت اسرائیلی-آمریکایی پروف پوینت مدعی شدند هکرهای کره شمالی مسئول طیف زیادی از کمپین های سرقت داده های هویتی در دنیا هستند.

به گزارش کارگروه حملات سایبری سایبربان؛ یک بازیگر مخرب مرتبط با کره شمالی به موجی از کمپین های موفق سرقت داده احراز هویت ارتباط داده شده است. این بازیگر مخرب سازمان های تحقیقاتی، آموزشی، دولتی، رسانه ای و دیگر سازمان ها را هدف قرار داده است. لازم به ذکر می باشد در مورد از این حملات، بازیگر مخرب اقدام به انتشار بدافزاری کرده است که می توانند در جهت جمع آوری اطلاعات مورد استفاده قرار بگیرند.

شرکت امنیت سایبری پروف پوینت این حملات را به گروهی به نام TA406 ارتباط داده است. از دیگر نام های این گروه هکری می توان به Kimsuky (کسپرسکی)، Velvet Chollima (کرود استرایک)، تالیوم (مایکروسافت)، Black Banshee (PwC) و Konni Group (سیسکو) اشاره کرد.

متخصصین حوزه سیاست، خبرنگاران و سازمان های غیر دولتی به عنوان بخشی از این کمپین بین ماه های ژانویه و ژوئن 2021 مورد هدف قرار گرفته بودند.

محققین پروف پوینت در این گزارش، تاکتیک ها، تکنیک ها و پروسه های این حمله را تشریح کردند. این حملات در آمریکای شمالی، روسیه، چین و کره جنوبی شایع است.

این گروه که از سال 2012 فعالیت دارد، یکی از فعال ترین گروه های هکری در جاسوسی سایبری، به دست آوردن منافع مالی و هدف قرار دادن نهادهای دولتی، اندیشکده ها و متخصصین حوزه های مختلف می باشد. هدف از حمله به متخصصین، به دست آوردن اطلاعات حساس مرتبط با سیاست خارجه و مشکلات امنیتی ملی است.

گروه تالیوم به زیر گروه های مختلفی از جمله بیبی شارک، اپل سید، فلور پاور و گولد دراگون تقسیم می شود. طبق گزارش کسپرسکی خود اپل سید نیز دارای زیر شاخه ای به نام TA408 می باشد.

یکی از کمپین های این گروه با اسناد مخرب مایکروسافت آفیسی آغاز می شود که حاوی ماکروهای ارسالی به قربانیان می باشد. این زنجیره آلوده سازی منجبر به رسیدن بدافزار به بلاگ های مخرب ساخته شده توسط مهاجمین می شود. بلاگ های نام برده این امکان را به مهاجمین می دهند تا محتوای مخرب را به روز رسانی کنند. محتوای مخرب پست شده در بلاگ ها بسته به نوع قربانی برای مهاجمین ارزشمند هشتند.

بازیگران مخرب در کنار این حملات، کمپین های تهدید ایمیلی یک هفته ای را آغاز کردند که در آن با استفاده از هویت متخصصین سیاسی و موضوعاتی مرتبط با امنیت تسلیحات هسته ای، سیاست و سیاست خارجه کره جنوبی قربانیان خود را با هدف به دست آوردن داده های احراز هویت سازمانی آن ها مورد حمله قرار می دهند. این داده ها از طریق URL هایی جمع آوری می شود که در پیام ها تعبیه شده است و قربانیان با دنبال کردن این URL به صفحات برداشت داده های احراز هویت هدایت می شوند.

کمپین های فیشینگ تالیوم در مارس 2021 با تغییرات قابل توجهی همراه بودند و ایمیل ها پا را فراتر از سرقت داده های احراز هویت گذاشتند و واسطه ای برای انتشار بدافزار شدند. این تغییرات همزمان با تست های موشکی کره شمالی در اواخر همان ماه انجام شد.

این ایمیل ها حاوی لینکی بودند که هدف مدنظر را به دامین کنترل شونده توسط مهاجم ارسال کردند. این لینک ها در جهت ترغیب افراد برای دانلود آرشیوی حاوی باینری مورد استفاده قرار می گرفتند. این باینری طوری تنظیم شده است که می تواند هر 15 دقیقه اقدام به نصب بدافزارهای اضافی از یک سرور راه دور کند.

یکی دیگر از ابزارهای مورد توجه در توپخانه این بدافزار، کی لاگر ویندوزی به نام YoreKey است که کاربران ارز دیجیتال در کره جنوبی را مورد هدف قرار می داد.