TA427 - угроза, связанная с Северной Кореей, известна тем, что использует сложные тактики социальной инженерии и веб-маяки для разведки. TA427 участвует в доброкачественных кампаниях по завязыванию разговоров для сбора стратегической информации, связанной с внешнеполитическими инициативами США и Южной Кореи.
Угрожающий субъект в значительной степени полагается на тактику социальной инженерии, включая злоупотребление аутентификацией, отчетностью и соответствием сообщений на основе домена (DMARC), опечатки и подмену учетных записей частной электронной почты, чтобы выдавать себя за людей из различных вертикалей, таких как аналитические центры, НПО и правительства. Кроме того, TA427 использует веб-маяки для первоначальной разведки, чтобы проверить активные учетные записи электронной почты и собрать фундаментальную информацию о сетевом окружении получателей.
TA427 - настойчивый и легко адаптирующийся угрожающий субъект, поскольку он способен быстро создавать новые инфраструктуры и персоны. Кроме того, TA427 является одним из наиболее активных государственных угроз, отслеживаемых компанией Proofpoint. Угроза использует веб-маяки, маяки слежения и веб-жучки для первоначальной разведки с целью сбора информации о сетевом окружении получателей. TA427 выдает себя за ключевых северокорейских экспертов в академических кругах, журналистике и независимых исследованиях, чтобы нацелиться на других экспертов и закрепиться в их организациях для долгосрочного сбора стратегической информации. Деятельность угрожающего субъекта сосредоточена на получении информации и влияния, а не на финансовой выгоде, при этом он не демонстрирует признаков замедления или потери маневренности в корректировке тактики и инфраструктуры.
Indicators of Compromise
Domains
- nknevvs.org
- stimson.shop
- stimsonn.org
- wilsoncenters.org
- wilsoncentre.org