APT38：朝鲜背后的金融动机攻击者

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

网络安全专家FireEye最近发布了一份关于与朝鲜政府有关的、以金融为目标的威胁行为者的活动报告。该组织被追踪为APT38，据估计已经从全球各地的银行窃取了至少一亿美元。

APT38：不同于拉撒路集团的新面孔

根据FireEye的报告，APT38似乎是一个独立于臭名昭著的拉撒路集团（Lazarus Group）之外的、与朝鲜政府相关的黑客组织。自2014年以来，该组织至少针对11个国家中的16个组织进行了攻击。

SWIFT系统成主要目标

报告将一系列针对SWIFT银行系统的攻击归因于APT38，包括2015年对越南TP银行的攻击、2016年对孟加拉国中央银行的攻击、2017年对台湾远东国际银行的攻击、2018年对墨西哥Bancomext银行以及智利Banco de Chile银行的攻击。

“APT38是一个以金融为目的的团体，与朝鲜的网络间谍行动者有联系，以其试图从金融机构窃取数百万美元以及大胆使用破坏性恶意软件而闻名。”FireEye在报告中指出。

绕过制裁的资金渠道

根据FireEye的说法，APT38在全球范围内针对银行进行攻击，目的是让朝鲜政府能够绕过外国国家对平壤实施的制裁，获取新的资金来源。

“基于观察到的活动，我们认为APT38的主要任务是针对金融机构，并操纵银行间的金融系统，为朝鲜政权筹集大笔资金。由于朝鲜政权持续进行武器开发和测试，国际社会对其施加了越来越严厉且有针对性的制裁。”报告继续写道。

“APT38活动的步伐可能反映了其不顾经济压力日益增加，仍迫切地试图窃取资金以追求国家利益。”

持续进化的威胁

专家认为，鉴于过去几年投入大量资源和广泛网络来攻击目标并窃取资金，APT38的操作很可能会在未来继续下去。特别是近年来成功阻止的多起SWIFT抢劫案以及围绕金融信息系统的安全意识不断提高，可能会促使APT38采用新的复杂策略来获取资金，尤其是在朝鲜获取货币的能力持续恶化的情况下。

结论

随着国际制裁的压力不断加大，朝鲜政府支持的APT38将继续寻找新的方法来规避检测并实现其金融目标。对于全球金融机构来说，提高警惕并加强防御措施变得至关重要。面对这样一支技术娴熟且目标明确的攻击力量，国际合作和信息共享将成为防范此类攻击的关键。

这篇文章不仅揭示了APT38的活动及其背后的动机，还强调了全球金融机构面临的严峻挑战。通过这样的报道，希望读者能更加关注网络安全的重要性，并认识到只有通过不断的技术创新和紧密的国际协作，才能有效应对这些复杂的网络威胁。

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友加入沟通交流。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：APT38：朝鲜背后的金融动机攻击者