Компания Mandiant опубликовала отчет, в котором подробно описывается деятельность UNC5267 (Storm-0287), децентрализованной группы угроз, состоящей из ИТ-работников, направленных правительством Северной Кореи для проживания за границей и трудоустройства в западных компаниях, особенно в тех, которые работают в технологическом секторе США.
UNC5267 APT
С 2022 года компания Mandiant отслеживает и сообщает об ИТ-работниках, действующих от имени правительства Северной Кореи. Эти люди маскируются под иностранных граждан, чтобы получить работу в различных отраслях, стремясь принести доход северокорейскому режиму с главной целью - обойти санкции и финансировать его программы по созданию оружия массового поражения (ОМП) и баллистических ракет.
Mandiant выявила сеть UNC5267, состоящую из северокорейских лиц, проживающих в основном в Китае и России. Эти люди устраиваются на удаленную работу в западные компании, часто используя украденные личные данные. Некоторые работают сразу на нескольких работах, принося КНДР значительный доход. Mandiant обнаружила поддельные резюме с фальсифицированными учетными данными и несовпадающими деталями - обычная тактика для получения работы.
После приема на работу эти работники получают расширенный доступ к модификации кода и администрированию систем, что представляет серьезную угрозу. Mandiant отмечает, что такой доступ открывает возможности для шпионажа и подрывной деятельности, хотя убедительных доказательств этому нет. Работники обычно получают удаленный доступ к ноутбукам компании, используя такие инструменты, как Chrome Remote Desktop и AnyDesk, часто через VPN, связанные с Северной Кореей или Китаем.
Устойчивость этой угрозы подчеркивает необходимость усиленной проверки при приеме на работу, надежных средств защиты кибербезопасности и сотрудничества между компаниями и агентствами кибербезопасности. Mandiant советует организациям внедрять передовые средства обнаружения и разрабатывать планы реагирования на инциденты, чтобы противостоять рискам, исходящим от этих злоумышленников.
Indicators of Compromise
IPv4
- 103.244.174.154
- 104.129.55.3
- 104.206.40.138
- 104.223.97.2
- 104.223.98.2
- 104.243.33.74
- 104.250.148.58
- 109.82.113.75
- 113.227.237.46
- 119.155.190.202
- 123.190.56.214
- 155.94.255.2
- 174.128.251.99
- 18.144.99.240
- 184.12.141.109
- 192.119.10.67
- 192.119.11.250
- 192.74.247.161
- 198.135.49.154
- 198.2.228.20
- 198.23.148.18
- 199.115.99.34
- 204.188.232.195
- 207.126.89.11
- 208.68.173.244
- 23.105.155.2
- 23.237.32.34
- 3.15.4.158
- 37.19.199.133
- 37.19.221.228
- 37.43.225.43
- 38.140.49.92
- 38.42.94.148
- 42.84.228.232
- 5.244.93.199
- 50.39.182.185
- 51.39.228.134
- 54.200.217.128
- 60.20.1.234
- 66.115.157.242
- 67.129.13.170
- 67.82.9.140
- 68.197.75.194
- 70.39.103.3
- 71.112.196.114
- 71.112.196.115
- 72.193.13.228
- 74.222.20.18
- 74.63.233.50
- 98.179.96.75
URLs
- https://daniel-ayala.netlify.app
