北韓首屈一指的高級持續威脅 (APT) 已經悄悄監視韓國國防承包商至少一年半,滲透到大約 10 個組織。
韓國警方本周公布 調查結果 揭露了同時進行的間諜活動 安達里爾 (又稱瑪瑙雨夾、沉默千里馬、鈽)、 金壽基 (又稱 APT 43、Thallium、Velvet Chollima、Black Banshee)以及更廣泛的 Lazarus Group。執法部門沒有透露受害者辯護組織的名稱,也沒有提供被盜資料的詳細資訊。
這項消息是在北韓進行核子試驗一天後發布的。 首次模擬核反擊演習.
朝鮮 APT 持續存在
很少有國家像韓國這樣清楚地意識到來自外國的網路威脅,也很少有產業像軍事和國防這樣清楚地意識到來自外國的網路威脅。然而,金是最好的 似乎總是能找到辦法.
Menlo Security 網路安全專家 Ngoc Bui 先生感嘆道:“眾所周知,APT 威脅,尤其是由國家級行為者驅動的威脅,很難完全阻止。” “如果 APT 或參與者積極性很高,那麼幾乎沒有什麼障礙是最終無法克服的。”
例如,2022 年 XNUMX 月,Lazarus 瞄準了一家承包商,該承包商具有足夠的網路意識,能夠運作獨立的內部和外部網路。然而,駭客利用了他們在管理連接兩者的系統方面的疏忽。首先,駭客入侵並感染了外部網路伺服器。當防禦因網路測試而關閉時,它們會透過網路連接系統進入內部。然後,他們開始從六台員工電腦中收集和竊取「重要資料」。
在 2022 年 XNUMX 月左右開始的另一起案件中,Andariel 獲得了一家為相關國防承包商進行遠端 IT 維護的公司的一名員工的登入資訊。它利用被劫持的帳戶,用惡意軟體感染了公司的伺服器,並竊取了與防禦技術相關的資料。
警方還強調了從 2023 年 XNUMX 月持續到 XNUMX 年 XNUMX 月的事件,其中 Kimsuky 利用了一家國防公司合作夥伴公司使用的群組電子郵件伺服器。一個漏洞允許未經授權的攻擊者下載透過電子郵件內部發送的大檔案。
消滅拉撒路
Bui 解釋說,對當局有用的是「像 Lazarus 這樣的北韓組織不僅經常重複使用他們的惡意軟體,而且還重複使用他們的網路基礎設施,這既是他們行動中的弱點,也是他們的優勢。他們的 OPSEC 失敗和基礎設施的重用,再加上滲透公司等創新策略,使他們特別值得監控。
透過攻擊後部署的惡意軟體(包括 Nukesped 和 Tiger 遠端存取特洛伊木馬 (RAT))及其架構和 IP 位址,識別出了每起防禦漏洞背後的肇事者。值得注意的是,其中一些 IP 可以追溯到中國瀋陽,以及 2014 年針對韓國水力核電公司的攻擊。
南韓警察廳在聲明中表示,「預計北韓針對國防技術的駭客攻擊將會持續」。該機構建議國防公司及其合作夥伴使用雙重認證,並定期更改與其帳戶相關的密碼,隔離內部與外部網絡,並阻止未經授權和不必要的外國 IP 位址存取敏感資源。
