朝鲜APT组织瞄准韩国国防承包商

朝鲜APT组织瞄准韩国国防工业实体

韩国国家警察厅警告称，朝鲜关联的威胁行为者正在瞄准国防工业实体，以窃取国防技术信息。

据韩国国家警察厅报告，朝鲜支持的APT组织Lazarus、Andariel和Kimsuky已经黑入了韩国多家国防公司的网络，以获取国防技术信息。

这些国家支持的黑客通过利用目标系统的漏洞并部署恶意软件来黑入国防公司的分包商。

“朝鲜黑客组织有时直接渗透国防公司，它们的安全性相对较低。黑客入侵易受攻击的国防工业合作伙伴，窃取国防工业公司的服务器帐户信息。随后，发现威胁行为者未经许可就渗透了主要服务器并分发了恶意软件。”来自BleepingComputer的韩国国家警察厅的警告如是说。

韩国国家警察厅和国防采购计划管理局（DAPA）对被攻击组织的环境进行了一系列特别检查。

联合检查活动发生在1月15日至2月16日之间，并影响了实施了保护措施的组织。

警方表示，这些攻击是以多个APT组织的贡献形式展开的一场全面战争。政府专家警告称，攻击者采用了复杂的黑客技术。

韩国国家警察厅提供了由不同APT组织进行的多次攻击的详细信息。

在一种情况下，Lazarus APT组织成功地攻击了一个由于基础设施保护不力而易受攻击的组织。该组织从2022年11月开始就已经入侵了一家国防工业公司的网络。黑客部署了一种恶意软件并控制了公司的内部网络，并从中窃取了重要数据，包括开发团队员工计算机上存储的信息。黑客入侵了至少6台内部计算机，并将窃取的数据发送到海外云服务器。

在第二个归因于Andariel APT组织的案例中，威胁行为者使用了一家维护国防工业公司服务器的公司员工的帐户。黑客于2022年10月窃取了该帐户，并使用它在国防分包商的服务器上部署了恶意软件。该恶意软件用于窃取有价值的国防技术的技术数据。警方注意到该员工在个人和工作帐户上使用相同的密码。

在与Kimsuky相关的第三次攻击中，APT组织利用了国防分包商的电子邮件服务器中的一个漏洞，时间是2023年4月至7月。攻击者利用该漏洞下载了包含技术数据的大文件，而无需任何身份验证。

韩国国家警察厅建议国防公司及其分包商加强网络安全。

“朝鲜针对国防技术的黑客尝试将会继续。”警告结束，“韩国国家警察厅将继续追踪和调查与朝鲜有关的国家支持的黑客组织。”

原文始发于微信公众号（紫队安全研究）：朝鲜APT组织瞄准韩国国防承包商