TA427, также известная как Leviathan или TempPeriscope, представляет собой группу кибершпионажа, которая, как полагают, связана с Северной Кореей. Их основная цель — сбор разведывательной информации по вопросам внешней политики, связанным с США, Южной Кореей и другими странами, представляющими стратегический интерес для северокорейского режима. TA427 использует сложную схему атаки, которая включает в себя несколько этапов:
Разведка и сбор информации
📌TA427 проводит обширный сбор разведывательной информации с открытым исходным кодом (OSINT) для выявления потенциальных целей, таких как эксперты по внешней политике, аналитические центры и академические учреждения.
📌 Они используют общедоступную информацию для создания специального контента-приманки и личностей, которые кажутся их целям легитимными.
Первоначальный контакт и социальная инженерия
📌TA427 устанавливает контакт с целями с помощью фишинговых электронных писем, которые, как представляется, поступают из надежных источников или от личностей, связанных с исследованиями в Северной Корее.
📌Электронные письма часто содержат своевременный и актуальный контент, такой как приглашения на мероприятия, запросы на исследовательские работы или вопросы по внешнеполитическим темам.
📌 Цель состоит в том, чтобы установить контакт с объектами и вовлечь их в длительные беседы на протяжении недель или месяцев.
Злоупотребления DMARC и подделка электронных писем
📌Чтобы повысить доверие к своим электронным письмам, TA427 использует слабые политики DMARC (Domain-based Message Authentication, Reporting & Conformance) для подмены доверенных доменов и пользователей.
📌Такие методы, как подделка личных учетных записей электронной почты и использование бесплатных адресов электронной почты, используются для того, чтобы выдавать себя за законных физических лиц или организации.
Профилирование и разведка
📌TA427 включает web-beacon в электронных письмах для сбора базовой информации о целях, например, для подтверждения того, активны ли их учетные записи электронной почты.
📌Эта первоначальная проверка помогает группе адаптировать свои последующие взаимодействия и собрать информацию о целевой организации.
Развертывание вредоносного ПО (необязательно)
📌TA427 может воспользоваться вредоносное ПО или сборщиков учетных данных к скомпрометированным объектам.
📌Вредоносные вложения или ссылки могут использоваться для получения дополнительного доступа к системам объекта или кражи конфиденциальных данных.
Утечка данных и сбор разведывательной информации
📌 Основной целью TA427 является сбор разведывательной информации по вопросам внешней политики посредством разговоров и информации, которой обмениваются объекты.
📌Любые украденные данные или учетные данные могут быть также извлечены для дальнейшего использования в разведывательных целях.
Сценарии и примеры из реальной жизни
📌"Адресовано экспертам по внешней политике»: TA427 напрямую запрашивает мнения экспертов по внешней политике по таким темам, как ядерное разоружение, политика США в отношении Южной Кореи и санкции, с помощью электронных писем, с помощью которых можно начать разговор.
📌Подделка данных аналитических центров и НПО: Чтобы придать легитимность своим электронным письмам и повысить шансы на взаимодействие, TA427 выдает себя за людей, имеющих отношение к аналитическим центрам и неправительственным организациям (НПО).
📌 Своевременный контент о приманках: TA427 создает контент о приманках на основе реальных событий и сообщений международной прессы, благодаря чему их электронные письма кажутся адресатам актуальными и заслуживающими доверия.
📌 Долгосрочное взаимодействие: TA427 привлекает целевые группы на длительные периоды времени, постоянно меняя псевдонимы и персонажей.
📌Потенциальный таргетинг на криптовалюту: был выявлен интерес к таргетингу на криптовалютные платформы, такие как http://blockchain.com в прошлом для получения финансовой выгоды.