Исследователи Unit 42 обнаружили активность северокорейского кластера известного как CL-STA-0237, которые проводили фишинговые атаки с использованием зараженных вредоносным ПО приложений для видеоконференций.
CL-STA-0237 APT
Они предположительно действуют из Лаоса, используя IP-адреса и идентификаторы этой страны. CL-STA-0237 использовал компанию малого и среднего бизнеса для проникновения в другую компанию и в 2022 году получил работу в крупной технологической компании. Он является частью сети северокорейских ИТ-работников, которые поддерживают незаконную деятельность своей страны. Для борьбы с такими рискам организациям рекомендуется усилить проверку при приеме на работу, внедрить мониторинг для обнаружения внутренних угроз, тщательно оценивать услуги сторонних организаций и контролировать использование корпоративных компьютеров сотрудниками.
Исследование также выявило связь между кампанией "Contagious Interview" и кластером CL-STA-0237. Северокорейские ИТ-работники, поддельно выдающие себя за соискателей, использовали информацию компании малого и среднего бизнеса, чтобы получить доступ к инфраструктуре и учетным записям других компаний. Неясно, как они получили доступ к этой информации - они могли украсть учетные данные или иметь партнерские отношения с предоставляющей ИТ-услуги компанией.
Предыдущая кампания "Contagious Interview" использовала поддельные сайты видеоконференций, чтобы заманить клиентов в загрузку вредоносных программ. Исследование также обнаружило, что северокорейские ИТ-специалисты, такие как CL-STA-0237, используют поддельные или украденные личности из разных стран в своих резюме.
Indicators of Compromise
IPv4
- 167.88.36.13
Domains
- effertz-carroll.com
- freeconference.io
- ftpserver0909.com
- ipcheck.cloud
- mirotalk.io
- mirotalk.net
- regioncheck.net
Emails
- 312011217@qq.com
- adonis_eros@outlook.com
- alhinglovena3000@gmail.com
- brightstar1116@outlook.com
- buyerlao@outlook.com
- casey_qadir@outlook.com
- cescernand@outlook.com
- devstar1116@gmail.com
- ebcappservices@gmail.com
- hakajakin@outlook.com
- ideationbrand@gmail.com
- jumphon2103@gmail.com
- legend_dev@outlook.com
- liko.sonexarth@gmail.com
- liko.sonexarth@hotmail.com
- lisettekolson8@gmail.com
- longines0924@gmail.com
- lujindane@outlook.com
- matthewhall14541@gmail.com
- mobilephetjum@gmail.com
- niko.sonexarth@gmail.com
- niko.sonexarth@hotmail.com
- oscar.vetres127@europe.com
- oscar.vetres127@gmail.com
- phetchamphone1998@gmail.com
- pinefirst@outlook.com
- reply9998@gmail.com
- richard.stewart.1202@gmail.com
- richard.stewart.1202@outlook.com
- sniper_bruce@outlook.com
- stp.walsh33@gmail.com
- techcare127@gmail.com
- truepai415@gmail.com
- truestar222@outlook.com
- volodimir.work2020@gmail.com
- zhangming_k@yahoo.com
- zhuming1116@gmail.com