APT45：朝鲜的数字军事机器

编剧：泰勒·朗 (Taylor Long)、杰夫·约翰逊 (Jeff Johnson)、爱丽丝·雷维利 (Alice Revelli)、弗雷德·普兰 (Fred Plan)、迈克尔·巴恩哈特 (Michael Barnhart)

执行摘要

APT45 是一个长期存在且具有中等复杂程度的朝鲜网络运营商，早在 2009 年就开始开展间谍活动。

APT45 逐渐扩展到以经济为动机的行动，该组织涉嫌开发和部署勒索软件，这使其有别于其他朝鲜运营商。

APT45 及疑似与该组织有关的活动集群与不同于 TEMP.Hermit 和 APT43 等朝鲜同行运营商的独特恶意软件家族谱系密切相关。

在经评估发现在朝鲜民主主义人民共和国 (DPRK) 活动的组织中，APT45 是最常针对关键基础设施的攻击组织。

概述

Mandiant 高度确信，APT45 是一个中等复杂的网络运营商，支持朝鲜的利益。自 2009 年以来，APT45 开展了一系列与朝鲜国家不断变化的地缘政治利益相一致的网络行动。尽管该组织最早观察到的活动包括针对政府机构和国防工业的间谍活动，但 APT45 已将其职权范围扩大到以经济为动机的行动，包括针对金融垂直行业；我们还中等确信地评估 APT45 参与了勒索软件的开发。此外，虽然多个与朝鲜有联系的组织在 COVID-19 大流行初期专注于医疗保健和制药行业，但 APT45 继续针对这一垂直行业的时间比其他组织更长，表明其持续收集相关信息。此外，该组织还针对与核有关的实体开展了行动，强调其在支持朝鲜优先事项方面的作用。

目标和扩张运营的转变

与归因于与朝鲜有联系的其他网络威胁活动类似，APT45 行动的变化反映了朝鲜不断变化的优先事项。恶意软件样本表明该组织早在 2009 年就已活跃，尽管从 2017 年开始观察到其将重点放在政府机构和国防工业上。2019 年发现的活动与平壤对核问题和能源的持续关注相一致。虽然目前尚不清楚以经济为动机的行动是否是 APT45 目前的任务重点，但该组织与其他朝鲜运营商不同，它涉嫌对勒索软件感兴趣。根据现有信息，APT45 进行以经济为动机的网络犯罪可能不仅是为了支持其自身的行动，也是为了为朝鲜的其他国家优先事项筹集资金。

金融部门

与其他与朝鲜有联系的攻击者一样，APT45 的目标也包括金融部门。2016 年，APT45 可能利用 RIFLE 攻击了一家韩国金融机构。直接攻击至少持续到 2021 年，当时该组织被发现对一家南亚银行进行鱼叉式网络钓鱼。

关键基础设施

2019年，APT45直接针对了印度库丹库拉姆核电站等核研究设施和核电站，这是朝鲜针对关键基础设施的网络行动少数公开已知的案例之一。

盗窃知识产权以弥补国内缺陷

2020 年 9 月，APT45 针对了一家跨国公司的作物科学部门，这可能是由于因担心 COVID-19 传染而导致边境贸易关闭后农业生产恶化的情况加剧。

2021 年朝鲜疑似爆发 COVID-19 疫情期间，包括 APT45 在内的多家与朝鲜有联系的运营商将重点放在了医疗保健和制药垂直领域。

从 APT45 观察到的活动表明，2023 年对健康相关研究的持续兴趣表明将继续为相关目标分配资源。

勒索软件的潜在用途

Mandiant 跟踪了几个我们怀疑是 APT45 所为的活动集群，但无法确认。公开报告称这些集群使用了勒索软件，可能是为了资助其运营或为该政权创造收入。虽然 Mandiant 无法确认 APT45 使用了这种勒索软件，但这是合理的，因为他们采用了多种方案来筹集资金。

• 2022 年，美国网络安全和基础设施安全局报告称，朝鲜国家支持的行为者使用 MAUI 勒索软件针对医疗保健和公共卫生部门。

• 2021 年，卡巴斯基报告称，Mandiant 追踪的勒索软件被鉴定为 SHATTEREDGLASS，该软件已被疑似 APT45 集群使用。

图 1：APT45 所针对的国家

图 2：APT45 所针对的行业

恶意软件

APT45 依赖于多种公开可用的工具（例如 3PROXY）、从公开可用的恶意软件（例如 ROGUEEYE）修改而来的恶意软件以及自定义恶意软件系列。与大多数朝鲜活动团体一样，APT45 恶意软件随着时间的推移表现出明显的共同特征，包括代码的重复使用、独特的自定义编码和密码。APT45 利用了与其他朝鲜活动集群相对不同的恶意软件工具库。

图 3：APT45 恶意软件重叠

归因及其他追踪行动的链接

Mandiant 高度确信 APT45 是受国家支持的网络运营商，其威胁活动旨在支持朝鲜政权。我们中等确信地认为 APT45 是朝鲜侦察总局 (RGB) 的直接下属机构。

Mandiant 认为 APT45 发起的活动已被公开报告为“ Andariel ”、“ Onyx Sleet ”、“ Stonefly ”和“ Silent Chollima ”。该组织的活动也经常被报告为与“ Lazarus Group ”有关。

图 4：2024 年朝鲜网络行动评估结构

展望未来

APT45 是朝鲜历史最悠久的网络运营商之一，该组织的活动反映了朝鲜政权的地缘政治优先事项，尽管其行动已从针对政府和国防实体的传统网络间谍活动转向医疗保健和农作物科学。在情报收集的同时进行以经济为目的的活动已成为朝鲜网络行动的显著特征，我们预计 APT45 将继续执行这两项任务。随着朝鲜越来越依赖其网络行动作为国家权力的工具，APT45 和其他朝鲜网络运营商开展的行动可能反映了该国领导层优先事项的变化。

致谢

特别感谢 Mandiant Advanced Practices、Mandiant FLARE、Mandiant Validation 和 FBI Kansas City。

技术附件：攻击生命周期

技术附件：APT45 攻击指标

包含与APT45 相关的攻击指标的 GTI 系列现已可供注册用户使用。

https://www.virustotal.com/gui/collection/ba02ba3529e90a07e00dc81074c3a6180e2a3fb906e81518cf9974526212a11b