Diğer Adlar:
· ATK117
· BLUENOROFF
· STARDUST COLLIMA
Hedef Aldıkları Sektörler: Finansal Servisler, Basın
Motivasyonlar ve Hedefler:
· Finansal Kazanç
APT38, bankalara ve kripto para borsalarına yönelik hedefli saldırılardan fidye yazılımlarının yayılmasına kadar para çalmak için birden fazla yol geliştiren, finansal olarak motive edilmiş bir Kuzey Koreli tehdit grubudur.
Bu grup, 2014'te finansal işlemleri öğrenmiş gibi görünüyor ve 2015'te bir SWIFT kötü amaçlı yazılım geliştirdiler. 2014'ten 2017'ye kadar çoğunlukla Güneydoğu Asya'daki kuruluşları hedef aldılar ve 2016'nın ortasında Güney Amerika ve Afrika'ya genişlediler. Ayrıca, Ekim 2016'dan Ekim 2017'ye kadar Avrupa ve Kuzey Amerika'yı da hedef aldılar.
APT38, defans atlatma teknikleri ve yanlış bayraklar (bazı kötü amaçlı yazılımlarda Rusçaya eksik çevrilmiş olması, bilinen kötü amaçlı yazılımların yeniden kullanımı) kullanan eksiksiz bir kötü amaçlı yazılım ve araç cephaneliğine sahiptir. Bu kötü amaçlı yazılımların başka bir birim (Unit 31 gibi) tarafından geliştirilmiş olması mümkündür, bu teknikler diğer Kuzey Koreli gruplar tarafından kullanılabilmektedir. Bu cephaneliğe rağmen, APT38 mümkün olduğunda live-of-the-land araçlarını kullanıyor. Hedeflerine ulaşana kadar tespit edilmeden, hedeflenen ortamı keşfetmek ve erişimi mümkün olduğu kadar uzun süre sürdürmek için çaba gösterirler. FireEye, kurban ağında yaklaşık 155 gün kaldıklarını tahmin ediyor.
BM Güvenlik Konseyi raporu, Kuzey Kore'nin “yaygın ve giderek karmaşıklaşan” siber saldırılar gerçekleştirdiğini ve Kuzey Kore'nin bu saldırılardan 2 milyar dolar elde ettiğini tahmin ettiğini söyledi.
Kullanılan Araçlar, Zararlı Yazılımlar ve Sömürülen Zaafiyetler
Zararlı Yazılımlar | Sömürülen Zaafiyetler | Diğer Yazılımlar |
DarkComet DYEPACK HERMES HOTWAX KillDisk KEYLIME JspSpy MAPMAKER NACHOCHEESE NESTEGG QUICKCAFE QUICKRIDE RATANKBAPOS RAWHIDE REDSHAWL SCRUBBRUSH SHADYCAT SLIMDOWN SMOOTHRIDE SORRYBRUTE WHITEOUT WORMHOLE WannaCry | CVE-2016-1019 CVE-2015-8651 CVE-2016-4119 | Net SysMon |
Hedef Aldığı Ülkeler: Türkiye, Bangladeş, Brezilya, Şili, Malezya, Meksika, Filipinler, Polonya, Rusya, Tayvan, ABD, Uruguay, Vietnam
Kampanyalar
Şubat 2014: APT38, finansal sistemleri etkilemek için özel olarak hazırlanmış NESTEGG ve KEYLIME malwarelerini kullanarak Güneydoğu Asya bankasını hedef aldı. Bu saldırı sırasında APT38, finansal işlemlerle ilgili çeşitli sistemleri öğrenmeye devam ediyor gibiydi.
Aralık 2015: Vietnam bankası TPBank’ın, Aralık 2015'te 1,36 dolarlık SWIFT transferlerini bloke etti.
Ocak 2016: Birçok uluslar arası banka soygunu
Şubat 2016 Bangladeş Banka soygunu: Şubat 2016'da APT38, 851 milyon dolar değerinde otuz beş hileli işlem başlattı. Çoğu bloke edilmiş veya kurtarılmış olsa da, 81 milyon dolar başarıyla Filipinler'e transfer edildi, kumarhaneler aracılığıyla aklandı ve Hong Kong'a transfer edildi.
Mayıs 2017- WannaCry: Mayıs 2017'de APT38, WannaCry kötü amaçlı yazılım ile, eski Windows XP sistemini ve özellikle 14 Mart 2017 tarihli (güvenlik bülteni MS17-010) güvenlik güncelleştirmeleri gerçekleştirmemiş olan Windows 10 sürümleri kullanarak, başta Hindistan, Amerika Birleşik Devletleri ve Rusya olmak üzere 150'den fazla ülkede 230.000'den fazla bilgisayarı etkileyen büyük bir küresel siber saldırı başlattı. Bu siber saldırı, internet tarihindeki en büyük fidye korsanlığı olarak kabul ediliyor ve Avrupa Polis Ofisi Europol bunu "benzeri görülmemiş" olarak nitelendiriyor. Bu saldırıdan etkilenen en önemli kuruluşlar arasında Vodafone, FedEx, Renault, Telefónica, Ulusal Sağlık Servisi, Liège Center Hospitalier Universitaire, Rusya İçişleri Bakanlığı ve Deutsche Bahn şirketleri yer alıyor.
Ekim 2017 - Uzak Doğu banka soygunu
Nisan 2018 – Üç Meksika bankası soygunu
Mayıs 2018 - Mayıs 2018'de APT38, Şili'nin en büyük bankası Banco de Chile'den 10 milyon doları başarıyla çaldı.
Taktik ve Teknikler (MITRE ATT&CK Framework
Initial Access
T1078 - Valid Accounts
T1189 - Drive-by Compromise
T1190 - Exploit Public-Facing Application
T1566.001 – Phishing: Spearphishing Attachment
Execution
T1204 - User Execution
Persistence
T1060 - Registry Run Keys / Startup Folder
T1543.003 - Create or Modify System Process: Windows Service
T1078 - Valid Accounts
Privilege Escalation
T1543.003 - Create or Modify System Process: Windows Service
T1055 - Process Injection
T1078 - Valid Accounts
Defense Evasion
T1027 - Obfuscated Files or Information
T1036 - Masquerading
T1045 - Software Packing
T1055 - Process Injection
T1078 - Valid Accounts
T1070.006 - Indicator Removal on Host: Timestomp
T1070.004 - Indicator Removal on Host: File Deletion
T1112 - Modify Registry
T1140 - Deobfuscate/Decode Files or Information
Credential Access
T1003 – OS Credential Dumping
T1056 - Input Capture
Discovery
T1046 - Network Service Scanning
T1057 - Process Discovery
T1518.001 – Software Discovery: Security Software Discovery
T1082 - System Information Discovery
T1083 - File and Directory Discovery
T1087 - Account Discovery
T1135 - Network Share Discovery
Lateral Movement
T1021.001 – Remote Services: Remote Desktop Protocol
Collection
T1056 - Input Capture
T1123 - Audio Capture
Command and Control
T1043 - Commonly Used Port
T1065 - Uncommonly Used Port
T1071 - Application Layer Protocol
T1079 - Multilayer Encryption
T1090 - Connection Proxy
T1043 - Commonly Used Port
Impact
T1485 - Data Destruction
T1492 - Stored Data Manipulation
){kind=link}
0 Yorumlar