全球金融威脅背後黑手APT38解密
10月3日,Fireeye公佈了朝鮮APT組織38的詳細資訊,他們認為該組織代表朝鮮政權實施金融犯罪,從全球銀行竊取美元。
2014年以來,「APT38」已入侵盜取至少11國、超過16個金融機構。受害銀行包括2015年11月被搶的越南先鋒銀行(Tien Phong Bank)、2016年2月遭竊取的孟加拉銀行(Bangladesh Bank)、2017年10月遭轉賬的臺灣遠東國際商業銀行,以及2018年1月遭入侵的墨西哥外貿銀行(Bancomext)和5月被駭客進入的智利銀行(Banco de Chile)。
APT38經常使用破壞性的惡意軟體,使盜竊後的受害者網路無法執行。更重要的是,外交努力,包括美國司法部(DOJ)最近提出歸咎於朝鮮的申訴,到目前為止都未能結束他們的活動。
Fireeye使用了對攻擊者生命週期的獨特觀察技術,釋出了一份特別的報告,”APT38:不尋常的嫌疑犯(APT38: Un-usual Suspects)”,公開了這個活躍的和嚴重的威脅所使用的方法。
報告認為,APT38的財務動機、獨特的工具集以及在其精心執行的行動中觀察到的戰術、技術和程式(TTPs)非常獨特,足以與朝鮮的其他網路活動分開跟蹤,包括與拉撒路”(Lazarus)的區分。
以下是APT38與其他朝鮮黑客組織的一些不同和相似之處:
1)APT38活動和其他朝鮮黑客的活動有明顯的區別,包括我們所說的“TEMP.Hermit”。它們是針對不同目標的不同行動,並且依賴於不同的TTPs;然而,所使用的惡意軟體工具要麼是重疊的,要麼顯示出共享的特徵,表明朝鮮多個黑客組織共享開發人員或訪問相同的程式碼庫。正如美國司法部的起訴書所示,還有其他共享資源,如可能協助多項工作的人員。
2)2016年Novetta的一份報告詳細描述了安全供應商試圖揭開其與2014年索尼影視娛樂(Sony Pictures Entertainment)遭受破壞性攻擊有關的工具和基礎設施面紗的工作。這份報告詳細描述了惡意軟體和TTPs,這些惡意軟體和TTPs與一些被他們稱為“拉撒路”(Lazarus)的開發人員和運營商有關。從那以後,公眾報告將更多的活動歸因於“拉撒路”組織,該組織的信心水平各不相同,主要是基於惡意軟體的相似之處被用於識別操作。
隨著時間的推移,這些惡意軟體的相似之處發生了分化,就像目標、預期結果和TTPs一樣,幾乎可以肯定的是,這些活動是由多個操作組組成的,主要與共享的惡意軟體開發資源和朝鮮政府的贊助聯絡在一起。
3)至少從2014年開始,APT38在至少11個國家的16個以上組織開展了業務,有時是同時進行的,這表明該集團是一個規模龐大、資源豐富的業務。
以下是關於APT38目標的一些細節:
1)考慮到受影響組織的事件報告率可能很低,APT38攻擊目標的總數可能更高。
2)APT38的特點是計劃時間長,在任何試圖偷錢之前都要長時間訪問受攻擊的環境,能夠在混合作業系統環境中流暢地工作,使用自定義開發的工具,以及不斷地努力阻止調查,並在事後徹底摧毀受攻擊的機器。
3)這個團隊是經過仔細計算的,並且已經證明了他們想要保持對受害者環境的訪問,以理解網路佈局、所需的許可權和系統技術以實現其目標。平均而言,我們觀察到APT38在受害者網路中停留了大約155天,而在受損環境中停留的最長時間據信是近兩年。
4)僅在公開報道的搶劫案中,APT38就試圖從金融機構竊取超過11億美元的資金。
對許多受害組織的入侵的調查為FireEye提供了一個獨特的視角觀察APT38的整個攻擊生命週期。下圖包含了APT38在不同操作階段使用的觀察到的惡意軟體家族的分類。在高級別上,他們針對金融組織和隨後的搶劫都遵循同樣的一般模式:
資訊收集:對組織人員和可能訪問SWIFT交易系統的第三方供應商進行研究,以瞭解受害者網路上SWIFT交易的機制(請注意:所涉及的系統是受害者用於進行SWIFT交易的系統)。我們從未注意到這些行動者破壞了SWIFT系統本身的完整性。
最初的侵入:依賴於水坑,利用Apache Struts2的一個不安全的過時版本在系統上執行程式碼。
內部偵察:部署惡意軟體收集憑證,繪製受害者的網路拓撲結構,使用受害者環境中已有的工具掃描系統。
滲透伺服器:在用於SWIFT的系統上安裝偵察惡意軟體和內部網路監控工具,以進一步瞭解如何配置和使用它們。在這些系統上部署主動和被動後門,以訪問受害者組織的分段內部系統,並避免被發現。
轉移資金:部署並執行惡意軟體以插入欺詐的SWIFT交易和更改交易歷史。通過多種交易將資金轉移到其他銀行設立的賬戶,這些賬戶通常位於不同的國家,以便進行洗錢活動。
銷燬證據:安全刪除日誌,以及部署和執行磁碟清理惡意軟體,以覆蓋跟蹤和破壞被分析。
APT38的獨特之處在於,它不怕在行動中摧毀證據或受害者網路。這種對破壞的態度可能是該組織不僅試圖掩蓋其蹤跡,而且試圖為洗錢活動提供掩護的結果。
除了網路操作之外,公開報告還詳細公佈了負責洗錢和與被盜資金接收銀行進行互動的人員。這增加了支援APT38行動的多個過程之間的複雜性和必要的協調。儘管最近採取了限制其活動的措施,但APT38對全球金融機構的威脅仍然是活躍和危險的。
該報告同時認為APT38、Lab 110、朝鮮程式設計師Park Jin Hyok,與朝鮮的偵察總局(RGB)存在著密切聯絡。
APT38利用前沿組織掩蓋其活動,包括滲透網路和收集情報。關係如圖所示。
Lab 110是在中國東北地區的幌子公司運營的,包括大連的朝鮮合資企業: Chosun Expo Joint Venture和瀋陽貿易公司: Chosun Baeksul Trading Company。
類似的部門還在世界其他地區開展業務,包括東南亞、東歐和中國的其他地區。
惡意軟體開發人員和人員是從朝鮮的大學招募而來,並直接進入軍事單位,比如Lab110。據報道,為這些單位提供教育的學校包括Kim Chaek University of Technology和Kim Il Sung Military Science University。
附錄:
可疑IP範圍:
175.45.176.0 - 175.45.179.255 IP範圍註冊在平壤一家公司
210.52.109.0 - 210.52.109.255 IP範圍註冊在中國但租給朝鮮
使用惡意軟體:
參考報告:
https://content.fireeye.com/apt/rpt-apt38
宣告:本文來自安全內參,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。