CL-STA-0237 APT IOCs

Исследователи Unit 42 обнаружили активность северокорейского кластера известного как CL-STA-0237, которые проводили фишинговые атаки с использованием зараженных вредоносным ПО приложений для видеоконференций.

Оглавление

CL-STA-0237 APT

Они предположительно действуют из Лаоса, используя IP-адреса и идентификаторы этой страны. CL-STA-0237 использовал компанию малого и среднего бизнеса для проникновения в другую компанию и в 2022 году получил работу в крупной технологической компании. Он является частью сети северокорейских ИТ-работников, которые поддерживают незаконную деятельность своей страны. Для борьбы с такими рискам организациям рекомендуется усилить проверку при приеме на работу, внедрить мониторинг для обнаружения внутренних угроз, тщательно оценивать услуги сторонних организаций и контролировать использование корпоративных компьютеров сотрудниками.

Исследование также выявило связь между кампанией "Contagious Interview" и кластером CL-STA-0237. Северокорейские ИТ-работники, поддельно выдающие себя за соискателей, использовали информацию компании малого и среднего бизнеса, чтобы получить доступ к инфраструктуре и учетным записям других компаний. Неясно, как они получили доступ к этой информации - они могли украсть учетные данные или иметь партнерские отношения с предоставляющей ИТ-услуги компанией.

Предыдущая кампания "Contagious Interview" использовала поддельные сайты видеоконференций, чтобы заманить клиентов в загрузку вредоносных программ. Исследование также обнаружило, что северокорейские ИТ-специалисты, такие как CL-STA-0237, используют поддельные или украденные личности из разных стран в своих резюме.

Indicators of Compromise

IPv4

167.88.36.13

Domains

effertz-carroll.com
freeconference.io
ftpserver0909.com
ipcheck.cloud
mirotalk.io
mirotalk.net
regioncheck.net

CL-STA-0237 APT

Indicators of Compromise

IPv4

Domains

Emails