まず話してからハッキング: 北朝鮮のハッカーグループ TA427 は、制裁に対する彼らの立場を探るため、かなり地味な方法で外交政策の専門家にアプローチしようとしています。偽の身元を使用して多くの情報が取得されます。
Proofpoint の研究者は、政府機関が後援または支援している多数のハッカー グループを観察しています。そのうちの 427 つは、Emerald Sleet、APT43、THALLIUM、または Kimsuky としても知られる TAXNUMX です。これは朝鮮民主主義人民共和国 (DPRK または北朝鮮) と提携し、偵察総局を支援するグループです。特に、外交政策に関する情報を得るために専門家をターゲットにした電子メール フィッシング キャンペーンが成功したことで知られています。
北朝鮮は専門家に調査を求めている
2023 年以降、TA427 は、外交政策の専門家に直接連絡して会話を開始するために、非侵入的な電子メールを使用することに重点を置いています。これらの電子メールの中で、攻撃者は核軍縮、米国と韓国の政策、制裁問題に関する意見をさらに聞き出そうとしています。ここ数カ月で、同グループはアプローチを変えた。 2023 年 2024 月に、緩いドメインベースのメッセージ認証、レポートおよび適合性 (DMARC) の施行を悪用して、さまざまな ID を偽装し始めました。 XNUMX 年 XNUMX 月、グループは Web ビーコンを使用してターゲット プロファイルを作成し始めました。
Proofpoint の専門家は、広範な調査結果を発表しました。彼らは、研究の最も重要な結果を次の点に要約しました。
- TA427 は、グループのターゲットとの長期的な情報交換を確立することを目的として、一見無害な電子メールを定期的に送信して会話を開始します。攻撃者らは、北朝鮮政権にとって戦略的に重要なテーマについてさらに知ろうとしている。
- TA427 は、特別に作成されたおとりの使用に加えて、シンクタンクや非政府組織に関連付けられた偽の ID に大きく依存しています。これは、電子メールに正当な外観を与え、ターゲットが攻撃者に接触する可能性を高めることを目的としています。
- TA427 は、選ばれた個人になりすますために、無料メールの受信箱と組み合わせた DMARC の悪用、タイポスクワッティング、プライベートメール アカウントのなりすましなど、さまざまな戦術を使用します。
- TA427 は、最初にターゲットを特定し、電子メール アカウントがアクティブかどうかなどの基本情報を学習するために Web ビーコンも使用しました。
北朝鮮のハッカーたちが偽の身元と連絡先を使って何をしようとしているのかは、時間が経てば分かるだろう。
詳細は Proofpoint.com をご覧ください
プルーフポイントについて Proofpoint, Inc. は、大手サイバーセキュリティ企業です。 Proofpoint の焦点は、従業員の保護です。 これらは企業にとって最大の資本であると同時に、最大のリスクでもあるからです。 Proofpoint は、クラウドベースのサイバーセキュリティ ソリューションの統合スイートにより、世界中の組織が標的型脅威を阻止し、データを保護し、サイバー攻撃のリスクについて企業の IT ユーザーを教育するのに役立ちます。