Een aan Noord-Korea gelinkte cyberspionage-organisatie heeft haar activiteiten geleidelijk uitgebreid naar financieel gemotiveerde aanvallen waarbij ransomware wordt ingezet. Daarmee onderscheidt de organisatie zich van andere hackersgroepen die banden hebben met het land.
Mandiant, eigendom van Google, houdt de activiteitencluster bij onder een nieuwe naam APT45die overlapt met namen als Andariel, Nickel Hyatt, Onyx Sleet, Stonefly en Silent Chollima.
“APT45 is een langlopende, matig geavanceerde Noord-Koreaanse cyberoperator die al sinds 2009 spionagecampagnes uitvoert”, aldus onderzoekers Taylor Long, Jeff Johnson, Alice Revelli, Fred Plan en Michael Barnhart. “APT45 is het vaakst waargenomen als doelwit voor kritieke infrastructuur.”
Het is de moeite waard om te vermelden dat APT45, samen met APT38 (ook bekend als BlueNoroff), APT43 (ook bekend als Kimsuky) en Lazarus Group (ook bekend als TEMP.Hermit), onderdeel zijn van het Noord-Koreaanse Reconnaissance General Bureau (RGB), de belangrijkste militaire inlichtingendienst van het land.
APT45 is met name gelinkt aan de implementatie van ransomwarefamilies die als SHATTEREDGLASS en Maui worden gevolgd en die entiteiten in Zuid-Korea, Japan en de VS in 2021 en 2022 targeten. Details over SHATTEREDGLASS werden in juni 2021 door Kaspersky gedocumenteerd.
“Het is mogelijk dat APT45 financieel gemotiveerde cybercriminaliteit pleegt, niet alleen ter ondersteuning van haar eigen activiteiten, maar ook om geld te genereren voor andere prioriteiten van de Noord-Koreaanse staat”, aldus Mandiant.
Een andere opvallende vorm van malware in het arsenaal is een backdoor met de naam Dtrack (ook bekend als Valefor en Preft). Deze werd voor het eerst gebruikt bij een cyberaanval op de kerncentrale Kudankulam in India in 2019. Dit is een van de weinige gevallen waarvan bekend is dat Noord-Koreaanse actoren kritieke infrastructuur hebben aangevallen.
“APT45 is een van de langst bestaande cyberoperatoren van Noord-Korea en de activiteiten van de groep weerspiegelen de geopolitieke prioriteiten van het regime, ook al zijn de activiteiten verschoven van klassieke cyberespionage tegen overheids- en defensie-instellingen naar gezondheidszorg en landbouwwetenschappen”, aldus Mandiant.
“Aangezien het land afhankelijk is geworden van cyberoperaties als instrument van nationale macht, weerspiegelen de operaties die worden uitgevoerd door APT45 en andere Noord-Koreaanse cyberoperatoren mogelijk de veranderende prioriteiten van de leiders van het land.”
De bevindingen komen nadat KnowBe4, een bedrijf dat trainingen geeft op het gebied van beveiligingsbewustzijn, zei dat het was misleid om een IT-medewerker uit Noord-Korea aan te nemen als softwareontwikkelaar. Deze werknemer gebruikte de gestolen identiteit van een Amerikaans staatsburger en verbeterde zijn of haar foto met behulp van kunstmatige intelligentie (AI).
“Dit was een bekwame Noord-Koreaanse IT-medewerker, ondersteund door een door de staat gesteunde criminele infrastructuur, die de gestolen identiteit van een Amerikaans staatsburger gebruikte om deel te nemen aan verschillende rondes video-interviews en omzeilde de achtergrondcontroles die gewoonlijk door bedrijven worden gebruikt”, aldus het bedrijf.
Het IT-personeelsleger, dat onderdeel uitmaakt van het Munitie-industriedepartement van de Koreaanse Arbeiderspartij, heeft een geschiedenis van het zoeken naar werk bij Amerikaanse bedrijven door te doen alsof ze zich in het land bevinden, terwijl ze zich in werkelijkheid in China of Rusland bevinden. Ze loggen op afstand in via door het bedrijf verstrekte laptops die bij een ‘laptopfarm’ werden afgeleverd.
KnowBe4 zei dat het verdachte activiteiten op het Mac-werkstation detecteerde dat naar het individu werd gestuurd op 15 juli 2024 om 21:55 uur EST, die bestonden uit het manipuleren van sessiegeschiedenisbestanden, het overdragen van potentieel schadelijke bestanden en het uitvoeren van schadelijke software. De malware werd gedownload met behulp van een Raspberry Pi.
Vijfentwintig minuten later zei het cybersecuritybedrijf uit Florida dat het het apparaat van de werknemer bevatte. Er is geen bewijs dat de aanvaller ongeautoriseerde toegang heeft gekregen tot gevoelige gegevens of systemen.
“De truc is dat ze het werk daadwerkelijk doen, er goed voor betaald krijgen en een groot bedrag aan Noord-Korea doneren om hun illegale programma’s te financieren”, aldus Stu Sjouwerman, CEO van KnowBe4.
“Deze casus onderstreept de dringende behoefte aan robuustere screeningprocessen, continue beveiligingsbewaking en betere coördinatie tussen HR-, IT- en beveiligingsteams bij de bescherming tegen geavanceerde, aanhoudende bedreigingen.”
