プラトンデータインテリジェンス。
バーティカルサーチ&アイ。

サイバーセキュリティ

3 人の北朝鮮の APT が韓国の防衛産業を監視

プラトンによって再発行
プラトンによって再発行

日付:

閲覧数: 0

北朝鮮の主要な高度持続的脅威(APT)は、少なくとも10年半にわたって韓国の防衛請負業者を密かにスパイしており、約XNUMXの組織に侵入している。

韓国警察は今週釈放 調査結果 によって実行された同時スパイ活動を暴露した。 アンダリエル (別名オニキスみぞれ、サイレントチョリマ、プルトニウム)、 キムスキー (別名 APT 43、タリウム、ベルベット チョリマ、ブラック バンシー)、およびより広範な Lazarus グループです。法執行機関は被害者弁護団体の名前を明らかにしておらず、盗まれたデータの詳細も明らかにしていない。

この発表は、北朝鮮が軍事行動を行った翌日に行われた。 核反撃を想定した史上初の訓練.

北朝鮮のAPTが存続

韓国ほど外国国民国家からのサイバー脅威を認識している国はほとんどなく、軍事と防衛ほど認識している業界もほとんどありません。それでも、キムの最高のもの いつも道を見つけているようだ.

「APT の脅威、特に国家レベルの攻撃者によって引き起こされる脅威は、完全に阻止することが難しいことで知られています」と Menlo Security のサイバーセキュリティ専門家 Ngoc Bui 氏は嘆きます。 「APT またはアクターのモチベーションが高ければ、最終的には乗り越えられない障壁はほとんどありません。」

たとえば、2022 年 XNUMX 月、Lazarus は、内部と外部のネットワークを別々に運用できるほどサイバー意識が高い請負業者を標的にしました。しかし、ハッカーたちは、両者を接続するシステムの管理における怠慢を利用しました。まず、ハッカーは外部ネットワーク サーバーに侵入し、感染させました。ネットワークテストのために防御がダウンしている間に、ネットワーク接続システムをトンネルして内部に到達しました。その後、彼らは XNUMX 台の従業員のコンピュータから「重要なデータ」を収集し、抽出し始めました。

2022 年 XNUMX 月頃から始まった別の事件では、アンダリエルは、問題の防衛請負業者の XNUMX つに対してリモート IT メンテナンスを行っていた会社の従業員に属するログイン情報を入手しました。ハイジャックしたアカウントを利用して同社のサーバーをマルウェアに感染させ、防衛技術に関連するデータを流出させた。

警察はまた、キムスキー容疑者が、ある防衛企業のパートナー企業が使用していたグループウェア電子メールサーバーを悪用した、2023年XNUMX月からXNUMX月にかけて続いた事件を強調した。この脆弱性により、権限のない攻撃者は、電子メールで内部に送信された大きなファイルをダウンロードすることができました。

ラザロを消し去る

ブイ氏は、当局にとって役立つのは、「Lazarus などの北朝鮮グループは、マルウェアだけでなくネットワーク インフラストラクチャも頻繁に再利用しており、これが彼らの活動における脆弱性と強みの両方になる可能性がある」と説明しています。彼らの OPSEC の失敗とインフラの再利用は、企業への侵入などの革新的な戦術と組み合わされて、特に監視の対象となっています。」

それぞれの防御侵害の背後にいる犯人は、Nukesped や Tiger リモート アクセス トロイの木馬 (RAT) など、侵害後に展開されたマルウェアと、そのアーキテクチャと IP アドレスによって特定されました。注目すべきことに、これらの知的財産の一部は中国の瀋陽や、2014 年の韓国水力原子力発電会社に対する攻撃に遡ります。

韓国警察庁は声明で「北朝鮮による防衛技術を狙ったハッキン​​グの試みは今後も続くと予想される」と述べた。同庁は、防衛企業とそのパートナーに対し、二要素認証を使用し、アカウントに関連付けられたパスワードを定期的に変更し、内部ネットワークと外部ネットワークを遮断し、未承認かつ不要な外部 IP アドレスによる機密リソースへのアクセスをブロックすることを推奨している。

スポット画像

最新のインテリジェンス

スポット画像

著作権 @ 2024 Plato Technologies Inc.

私たちとチャット

やあ! どんな御用でしょうか?