朝鲜首屈一指的高级持续威胁 (APT) 已经悄悄监视韩国国防承包商至少一年半，渗透到大约 10 个组织。

韩国警方本周公布 调查结果 揭露了同时进行的间谍活动 安达利尔 （又名玛瑙雨夹、沉默千里马、钚）、 Kimsuky （又名 APT 43、Thallium、Velvet Chollima、Black Banshee）以及更广泛的 Lazarus Group。执法部门没有透露受害者辩护组织的名称，也没有提供被盗数据的详细信息。

这一消息是在朝鲜进行核试验一天后发布的。 首次模拟核反击演习.

朝鲜 APT 持续存在

很少有国家像韩国这样清楚地意识到来自外国的网络威胁，也很少有行业像军事和国防这样清楚地意识到来自外国的网络威胁。然而，金是最好的 似乎总能找到办法.

Menlo Security 网络安全专家 Ngoc Bui 先生感叹道：“众所周知，APT 威胁，尤其是由国家级行为者驱动的威胁，很难完全阻止。” “如果 APT 或参与者积极性很高，那么几乎没有什么障碍是最终无法克服的。”

例如，2022 年 XNUMX 月，Lazarus 瞄准了一家承包商，该承包商具有足够的网络意识，能够运营独立的内部和外部网络。然而，黑客利用了他们在管理连接两者的系统方面的疏忽。首先，黑客入侵并感染了外部网络服务器。当防御因网络测试而关闭时，它们通过网络连接系统进入内部。然后，他们开始从六台员工计算机中收集和窃取“重要数据”。

在 2022 年 XNUMX 月左右开始的另一起案件中，Andariel 获得了一家为相关国防承包商进行远程 IT 维护的公司的一名员工的登录信息。它利用被劫持的帐户，用恶意软件感染了公司的服务器，并窃取了与防御技术相关的数据。

警方还强调了从 2023 年 XNUMX 月持续到 XNUMX 年 XNUMX 月的一起事件，其中 Kimsuky 利用了一家国防公司合作伙伴公司使用的群件电子邮件服务器。一个漏洞允许未经授权的攻击者下载通过电子邮件内部发送的大文件。

消灭拉撒路

Bui 解释说，对当局有用的是“像 Lazarus 这样的朝鲜组织不仅经常重复使用他们的恶意软件，而且还重复使用他们的网络基础设施，这既是他们行动中的弱点，也是他们的优势。他们的 OPSEC 失败和基础设施的重用，再加上渗透公司等创新策略，使他们特别值得监控。”

通过攻击后部署的恶意软件（包括 Nukesped 和 Tiger 远程访问特洛伊木马 (RAT)）及其架构和 IP 地址，识别出了每起防御漏洞背后的肇事者。值得注意的是，其中一些 IP 可以追溯到中国沉阳，以及 2014 年针对韩国水力核电公司的攻击。

韩国警察厅在一份声明中表示，“预计朝鲜针对国防技术的黑客攻击将会继续”。该机构建议国防公司及其合作伙伴使用双因素身份验证，并定期更改与其帐户相关的密码，隔离内部与外部网络，并阻止未经授权和不必要的外国 IP 地址访问敏感资源。

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.darkreading.com/cyberattacks-data-breaches/north-korea-apt-triumvirate-spied-on-south-korean-defense-industry-for-years