Nazioni Unite accusano la Nord Corea: avrebbe rubato 2 miliardi di dollari per finanziare progetti militari

Nazioni Unite accusano la Nord Corea: avrebbe rubato 2 miliardi di dollari per finanziare progetti militari

Secondo un articolo pubblicato dalla testata Reuters, le Nazioni Unite avrebbero tenuto sotto controllo il Governo di Pyongyang durante la prima metà del 2019, facendo emergere in un report confidenziale almeno 35 attacchi informatici perpetrati ai danni di istituzioni finanziarie e piattaforme exchange di cryptovalute, in parallelo ad una campagna di spear phishing/malspam rivolta ad utenti della Sud Corea.

Scopo di questi attacchi sarebbe stato il raccogliere denaro per finanziare strumentazioni militari e programmi nucleari.
Si presume che l’ammontare del denaro ottenuto con gli attacchi sia di almeno 2 miliardi di dollari.

Sospetto threat actor

Considerati gli attacchi passati attribuiti alla Nord Corea e alle TTP (tecniche, tattiche e procedure) analizzate, sembrerebbe che alle spalle delle campagne perpetrate vi sia il gruppo APT “Bluenoroff“, una fazione del noto actor state-sponsored noto come “Lazarus Group” (alias “Labyrinth Chollima”, “Group 77”, “Unit 121”, “Hidden Cobra”).

Modus Operandi

Sono state registrate diverse TTP attribuibili al collettivo Bluenoroff, di cui:

  • Intromissione in una intera infrastruttura di ATM, manomettendo la destinazione delle transazioni
  • Manomissione della piattaforma sudcoreana di exchange cryptovalute Bithumb
  • Campagna malspam veicolante malware di tipo RAT/miner

Coinvolgimenti

Dal rapporto UN risulterebbe che i paesi presi di mira dal collettivo Bluenoroff siano almeno 17, ma attualmente non esiste alcun elenco ufficiale.

Tuttavia, da un’analisi di campagne e operazioni degli ultimi mesi, si può presumere che tra i paesi presi di mira dal collettivo vi siano i seguenti (non si può confermare, tuttavia, che le attività siano correlate tra loro):

PAESE ATTIVITÀ PERIODO
Africa Backdoor installate su ATM appartenenti ad istituti di credito Novembre 2018
Asia Backdoor installate su ATM appartenenti ad istituti di credito Novembre 2018
Sud Corea Campagna spear phishing/malspam denominata “False Flag”/”Movie Coin”, veicolante allegati con payload malevolo, finalizzati al controllo remoto di computer per minare Monero Giugno/luglio 2019
Stati Uniti Sfruttamento spyware “Hoplight” veicolato via email malspam Aprile 2019
America Latina Backdoor installate su ATM appartenenti ad istituti di credito 2018 (non meglio precisato)
Stati Uniti Campagna che diffonde malware tunneling ELECTRICFISH Fino ad inizio Maggio 2019
Israele Diffusione di email malspam contenenti allegati malevoli che sfruttano vulnerabilità WinRar (CVE-2018-20250) Marzo 2019
Stati Uniti e paesi anglofoni Campagna “Sharpshooter” veicola malware denominato “Rising Sun” via email malspam Ottobre/Novembre 2018
Sud Corea Campagna phishing veicolante allegato malevolo “Job Description.doc” Gennaio 2019

Campagna “Movie Coin”: La Sud Corea nel mirino degli attacchi spear phishing e watering hole

Come accennato precedentemente, il collettivo Bluenoroff sarebbe responsabile di una campagna massiva nei confronti del Sud Corea, le quali email risulterebbero essere simili a questa:

I documenti HWP (estensione di un noto elaboratore di testi coreano in Hangul, alfabeto coreano ndr) risulterebbero avere date di ultima modifica che vanno dal 18 giugno fino al 12 luglio.

Esempi di documenti inviati:

https://blog.alyac.co.kr/2418

I tre allegati, di estensione HWP, risultano essere dei payload che sfruttano vulnerabilità non meglio precisate, con il fine di prendere il controllo della postazione infetta e minare Monero per un ottenimento non rintracciabile di denaro.

IOC MD5

나의 참전수기 모음.hwp631F1C63FF87399E5E73C7D94D62532F
미국의 대테러전쟁.hwp87E252E3DA6C02BF531A6CFB788F122A
죽음에 대한 이해와 성찰.hwp2898A8BB7CC7639B7BD1080F9AD00E79
(필수)외주직원 신상명세서.hwpF79CC1AB1B4F0D18EBA0BD3899EDCF44
시스템 포팅 명세서.hwp881B27E55898F95D489BC0D6D4F47ED4
a.avi1BAD6702B4A40E4E48BE86E7D0E8B17B
b.avi0856655351ACFFA1EE459EEEAF164756
Last 1~5.hwp8D673685D8E99FD2B6A23A6651BCCB6B
Final(1-5).hwp421f90cde696889d53d03e1a300208df

Risultano contattati i seguenti indirizzi utilizzati come C2:

https://technokain.com/ads/adshow1.dat
https://technokain.com/ads/adshow2.dat
https://www.weeklyexperts.com/wp-content/plugins/revslider/about.php
https://www.payngrab.com/wordpress/wp-content/plugins/megamenu/about.php
https://www.adhyatmikpunarjagran.org/wp-includes/Text/about.php
https://www.sparkdept.com/wp-content/uploads/themify/theme2.db.enc
https://www.sbaragliavareadores.es/images/a.avi(32bit)-movie32.dll/drukom
https://www.sbaragliavareadores.es/images/b.avi(64bit)-movie64.dll/drukom
https://locphuland.com/wp-content/themes/hikma/total.php
https://www.matthias-dlugi.de/wp-content/themes/twentyfifteen/helper.php
https://castorbyg.dk/wp-content/themes/302.php

Letture interessanti:

Mostra i Commenti