帕洛阿尔托网络公司在一份新报告中描述了与朝鲜情报机构有关的黑客组织的活动。
这些组织在公开报道中通常被称为“拉撒路” ,代表朝鲜政府开展工作。
从事网络间谍活动、金融犯罪以及对世界各地各行业的破坏性攻击。
RGB是由多个部门组成的结构,每个部门都有自己的目标和专业化。
恶意软件 威胁评估:朝鲜威胁团体 https://unit42.paloaltonetworks.com/threat-assessment-north-korean-threat-groups-2024/
迄今为止,已确定了六个关键群体:
-
Alluring Pisces (也称为 Bluenoroff)——专门针对金融机构、加密货币公司和 ATM 进行攻击。
正是这个组织对重大网络抢劫负有责任。
-
闪闪发光的双鱼座 (Citrine Sleet)——攻击加密货币公司,并与分发虚假加密货币应用程序的 AppleJeus 活动有关。
-
Jumpy Pisces (Andariel) – 专注于网络间谍活动,但也因实施勒索软件攻击而闻名。
-
选择性双鱼座 (TEMP.Hermit) – 针对媒体、国防和 IT 公司,从事间谍活动和网络攻击,目的是摧毁或损害它们。
-
Slow Pisces (TraderTraitor) – 以攻击区块链公司和供应链而闻名,分发 TraderTraitor 等恶意应用程序。
-
闪闪发光的双鱼座 (Kimsuky)——该组织的主要活动是情报收集,其行动通过网络犯罪获得资金。
该报告还对最近发现的由朝鲜组织开发的 10 个恶意软件家族进行了分析。
这些程序针对Windows、macOS 和 Linux,用于各种类型的攻击,例如情报收集、黑客攻击企业网络和传播勒索软件。
该报告还描述了RustBucket、KANDYKORN、SmoothOperator、ObjCShellz 和 Fullhouse等恶意软件。
该恶意软件涵盖了广泛的功能,从渗透系统到窃取数据和控制受感染的设备。
其中最著名的程序之一是RustBucket ,它是 2023 年发现的一种多阶段macOS恶意软件。
这些步骤涉及下载和执行多个组件,这使得检测和删除变得困难。
KANDYKORN是从社会工程开始的复杂、多步骤攻击的另一个例子,受害者被诱骗执行伪装成普通文件的恶意脚本。
据研究人员称, SmoothOperator程序也被识别出,该程序被用来攻击流行的3CX 应用程序的客户端。
该恶意软件嵌入在安装文件中,并从受感染的设备收集数据。
研究人员指出,RGB 控制下的组织因一些备受瞩目的事件而出名,例如 2014 年索尼影业遭受攻击、2017 年全球 WannaCry 爆发以及对加密货币交易所的多次攻击。
朝鲜的黑客活动自 2007 年以来一直持续,遍及全球许多行业和地区。
由于朝鲜组织活动的规模和复杂性,他们被纳入 MITRE ATT&CK 的 2024年度安全评估,该评估分析了他们使用的方法、策略和软件。
Palo Alto Networks 则不断开发和改进解决方案,以保护企业免受这些黑客组织的威胁。
该报告强调需要采取全面的方法来保护组织,以尽量减少与国家黑客活动相关的风险,例如由 RGB 运营的朝鲜组织。
原文始发于微信公众号(网络研究观):朝鲜控制的6个APT组织悄悄发动全球网络战争
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论