新的朝鮮威脅組織——APT38
FireEye釋出了有關其認為代表朝鮮政權進行金融犯罪的威脅組織的詳細資訊,該組織從全球銀行竊取數億美元。該組織特別具有攻擊性;他們經常使用破壞性惡意軟體在盜竊後使受害者網路無法執行。而更重要的是,經過外交努力,以及包括最近司法部(DOJ)的投訴,迄今為止並沒有能阻止該行動。我們稱這個組織為APT38。
我們正在釋出一份特別報告,即 ofollow,noindex">APT38: Un-usual Suspects ,揭露這種積極和嚴重威脅行動所使用的方法,並從FireEye獨特視角解讀攻擊者生命週期,補充其他人為揭露這些行動所做的早期努力。
我們從APT38精心執行的行動中觀察到其財務動機、獨特工具集以及戰術、技術和程式(TTP)等特性,可以與其他朝鮮網路活動分開。不過,我們認為它與其他操作有許多重疊的特徵,如Lazarus(我們稱之為 TEMP.Hermit );但是,我們將這一組織與其他朝鮮網路活動分開是為了讓防護者更加專注的瞭解對手,並允許他們優先考慮資源並實現防禦。以下是APT38與其他朝鮮攻擊者的不同的以及相似的一些方式:
·我們發現APT38行動與其他朝鮮攻擊者的行動有明顯的區別,包括我們稱之為TEMP.Hermit的攻擊者。調查表明,他們針對不同的目標採取了不同的行動,並依賴於不同的TTP;但是,正在使用的惡意軟體工具重疊或展示共享特徵,這表明共享開發人員或訪問相同的程式碼儲存庫。正如司法部的投訴所顯示的那樣,還有其他共享資源,例如可能協助多項工作的人員。
· Operation-Blockbuster-Report.pdf" target="_blank" rel="nofollow,noindex">2016 Novetta report 報告詳細介紹了安全供應商的工作,這些供應商介紹了與2014年針對Sony Pictures Entertainment的破壞性攻擊相關的工具和基礎設施。該報告詳細介紹了與一系列開發商和運營商相關的惡意軟體和TTP,他們稱之為“Lazarus”,這個名稱已經成為朝鮮侵略的網路運營的代名詞。
· 從那時起,公開報告將其他行動歸因於Lazarus組織,原因有很多,主要基於在已確定的攻擊中利用的惡意軟體的相似性。而隨著時間的推移,這些惡意軟體的相似性也不同,目標,預期結果和TTP也是如此,幾乎可以肯定的表明這項行動是由多個運營組織組成,他們共享惡意軟體開發資源並與朝鮮聯絡在一起。
自2014年以來,APT38已在至少11個國家/地區開展業務,有時會同時進行,表明該組織擁有的資源龐大和多產的業務。以下是有關APT38定位的一些細節:
· 考慮到受影響組織的低事故報告率,APT38所針對的組織總數可能更高。
· APT38的特點是長期規劃,在竊取金錢之前延長訪問受害者環境的時間,在混合作業系統環境中流暢使用定製開發的工具,以及達成目標之後破壞受感染的機器。
· 該小組非常謹慎,僅在必要時才保持對受害者環境的訪問,以便了解網路佈局,所需許可權和系統技術以實現其目標。
·據分析,我們觀察到APT38在受害者網路中平均駐留了大約155天,在受感染環境中的最長時間為兩年。
· 在公開報道的盜竊案中,APT38試圖從金融機構竊取超過11億美元的資金。
調查許多受害組織的入侵過程,為我們提供了對APT38整個攻擊生命週期的獨特視角。圖1包含APT38在其運營的不同階段使用觀察到的惡意軟體系列的細分。在更高層次上,他們針對金融機構和後續盜竊的目標遵循相同的模式:
1.資訊收集:對人員和目標第三方供應商進行研究,可能會訪問SWIFT系統,以瞭解SWIFT交易的機制。
2.初始感染:依賴於水坑攻擊並利用不安全的過時版本的Apache Struts2在系統上執行程式碼。
3.內部偵察:部署惡意軟體以收集憑據,對映受害者的網路拓撲,並使用受害者環境中已存在的工具來掃描系統。
4.轉向SWIFT伺服器:在SWIFT系統上安裝偵察惡意軟體和內部網路監控工具,以進一步瞭解SWIFT如何配置。
5.轉移資金:部署並執行惡意軟體以插入欺詐性SWIFT交易並更改交易歷史記錄。通過多筆交易將資金轉移到其他銀行設立的賬戶,這些銀行通常位於不同的國家,以便進行洗錢。
6.銷燬證據:安全刪除日誌,部署和執行磁碟擦除惡意軟體,掩蓋㾗跡並破壞取證分析。
圖1:APT38攻擊生命週期
APT38的獨特之處在於,作為其運營的一部分,它積極的銷燬證據和破壞受害者網路。這種方式可能是該組織試圖掩蓋其蹤跡,以及為洗錢活動提供掩護的結果。
除了網路運營之外,公開報告還詳細介紹了國內的招聘及合作,以支援APT38盜竊鏈條的末端,包括負責洗錢以及與被盜銀行接收銀行互動的人員。這增加了支援APT38行動的多個元件之間的複雜性和必要的協調。
儘管努力的限制其行動,但APT38仍對全球金融機構保持活躍和危險。據保守估計,該組織已盜竊了超過一億美元的資金。此外,鑑於他們嘗試的盜竊規模龐大,以及摧毀目標網路的傾向,APT38應被視為該行業的嚴重風險。