Северокорейские хакеры UNC3782 расширяют цели: от фишинга Naver до кражи криптовалют

Группа UNC3782 демонстрирует тактики, схожие с ранее документированными у северокорейского APT43 (Kimsuky), что позволяет предположить возможную связь между этими коллективами. Изначально атаки были сфокусированы на создании сотен доменов-опечаток (typosquatting), имитирующих официальные ресурсы Naver Corp. Однако в конце 2022 года злоумышленники зарегистрировали тематические криптодомены, что свидетельствует о смене приоритетов.

Исследователи обнаружили операционные ошибки, допущенные группой при регистрации доменов. В данных WHOIS были найдены повторяющиеся имена, такие как "Tony Smith", и шаблонные email-адреса типа hostingerk1[@]hotmail.com и specialcnc05[@]gmail.com. Кроме того, присутствовали корейские имена "Kil Nyeon Kim" и "junseog son", что дополнительно указывает на происхождение группы.

Особый интерес представляют активные криптовалютные домены, включая nooxdao[.]net, nooxnft[.]net и unisockshub[.]com. Эти ресурсы маскируются под законные платформы NFT и криптовалют, предлагая пользователям "получить награды" за подключение кошельков. На самом деле сайты предназначены для краси секретных seed-фраз, что приводит к полному контролю над цифровыми аккаунтами.

Технический анализ выявил использование специализированных скриптов и серверной инфраструктуры. Например, домен jqueryservice.pro содержал открытый каталог с обфусцированным JavaScript-кодом и PHP-скриптами, настроенными для перехвата криптовалютных данных. В файле gpa.php обнаружены blockchain-адреса, включая 0xe2D4C648776ace65D8A745e06B5dD4338DBD152C, что подтверждает мотивацию финансовой выгоды.

Эксперты отмечают, что переход от корпоративного фишинга к криптовалютным атакам соответствует общей тенденции северокорейских хакерских групп, которые активно используют кражу цифровых активов для финансирования своих операций. Обнаруженная инфраструктура демонстрирует высокий уровень подготовки и адаптивности UNC3782.

В настоящее время часть доменов остается активной, представляя ongoing threat для пользователей криптобирж и NFT-платформ. Специалисты рекомендуют проявлять особую бдительность при подключении кошельков к неизвестным ресурсам и проверять подлинность сайтов через официальные каналы. Дальнейший анализ активности группы продолжается, при этом остается открытым вопрос о полной идентификации и возможном слиянии с другими APT-группами.

IPv4

• 108.177.235.114
• 108.177.235.15
• 108.177.235.218
• 108.177.235.82
• 108.62.118.127
• 108.62.118.141
• 108.62.118.150
• 108.62.118.156
• 108.62.118.180
• 108.62.118.188
• 108.62.118.201
• 108.62.118.206
• 108.62.118.38
• 108.62.118.81
• 108.62.12.14
• 108.62.12.95
• 108.62.141.202
• 108.62.141.83
• 13.248.151.237
• 13.248.158.159
• 13.248.252.114
• 135.125.55.234
• 138.201.80.121
• 139.99.71.216
• 141.94.176.113
• 141.94.176.114
• 141.94.176.115
• 141.94.176.123
• 142.234.157.130
• 142.234.157.20
• 142.234.157.239
• 142.234.157.240
• 142.234.157.3
• 142.234.157.45
• 142.234.157.46
• 142.234.157.96
• 15.235.132.75
• 15.235.132.77
• 15.235.132.78
• 15.235.132.79
• 15.235.33.18
• 15.235.33.21
• 15.235.33.28
• 152.89.247.182
• 160.20.147.87
• 167.114.188.46
• 167.114.188.60
• 172.236.126.234
• 172.241.27.147
• 172.241.27.230
• 172.67.153.143
• 172.67.168.192
• 172.67.174.224
• 172.67.184.241
• 172.67.187.252
• 172.67.194.73
• 172.93.201.11
• 172.93.201.123
• 172.93.201.138
• 172.93.201.154
• 172.93.201.170
• 172.93.201.237
• 172.93.201.239
• 172.93.201.25
• 172.93.201.48
• 172.93.201.53
• 172.93.201.55
• 172.93.201.61
• 172.93.201.63
• 172.93.201.67
• 172.93.201.80
• 172.93.201.88
• 172.93.201.90
• 172.93.201.95
• 172.93.201.97
• 172.93.201.99
• 173.234.155.129
• 173.234.155.154
• 173.234.155.159
• 173.234.155.91
• 173.234.155.97
• 173.234.155.98
• 188.114.97.3
• 188.114.97.4
• 188.165.62.34
• 188.165.62.61
• 192.99.255.38
• 198.244.135.244
• 198.244.135.247
• 198.244.135.248
• 198.244.135.249
• 198.244.135.250
• 198.244.146.104
• 198.244.146.105
• 198.244.146.107
• 198.244.146.108
• 198.244.146.109
• 198.244.146.110
• 198.244.146.118
• 198.244.169.208
• 198.244.169.209
• 198.244.169.221
• 2.57.90.16
• 2.57.90.58
• 209.145.52.102
• 213.227.154.14
• 213.227.154.67
• 213.227.154.81
• 213.227.155.82
• 213.227.155.83
• 213.227.155.85
• 213.227.155.86
• 213.227.155.87
• 213.227.155.90
• 213.227.155.91
• 213.227.155.92
• 213.227.155.94
• 213.227.155.95
• 23.106.122.145
• 23.106.122.19
• 23.106.123.183
• 23.106.123.185
• 23.106.123.187
• 23.106.124.150
• 23.106.124.2
• 23.106.124.24
• 23.106.124.249
• 23.106.124.25
• 23.106.124.26
• 23.106.124.35
• 23.106.124.4
• 23.106.124.87
• 23.106.125.130
• 23.106.125.140
• 23.106.125.142
• 23.106.125.143
• 23.106.125.148
• 23.106.125.150
• 23.106.125.155
• 23.106.125.164
• 23.106.125.166
• 23.106.125.175
• 23.106.125.176
• 23.106.125.177
• 23.106.125.194
• 23.106.125.197
• 23.106.125.198
• 23.106.125.20
• 23.106.125.208
• 23.106.125.233
• 23.106.125.26
• 23.106.125.4
• 23.106.160.111
• 23.106.160.169
• 23.106.160.222
• 23.106.160.78
• 23.106.215.138
• 23.106.215.217
• 23.106.215.219
• 23.106.215.80
• 23.106.215.85
• 23.106.215.97
• 23.19.58.212
• 23.19.58.238
• 23.19.58.93
• 23.19.58.94
• 23.19.58.95
• 23.81.246.39
• 23.82.128.123
• 23.82.128.146
• 23.82.128.15
• 23.82.128.16
• 23.82.128.160
• 23.82.128.161
• 23.82.128.162
• 23.82.128.163
• 23.82.128.17
• 23.82.128.170
• 23.82.128.171
• 23.82.128.172
• 23.82.128.173
• 23.82.128.18
• 23.82.140.144
• 23.82.141.19
• 23.82.141.192
• 23.82.141.20
• 23.82.189.110
• 23.82.189.114
• 23.82.189.115
• 23.82.189.116
• 23.82.189.118
• 23.82.19.100
• 23.82.19.158
• 23.82.19.192
• 23.82.19.194
• 23.82.19.196
• 23.82.19.24
• 23.82.19.27
• 23.82.19.29
• 23.82.19.30
• 23.82.19.32
• 23.82.19.34
• 23.82.19.35
• 23.82.19.36
• 23.82.19.4
• 23.82.19.5
• 23.83.133.14
• 23.83.133.176
• 23.83.133.177
• 23.83.133.178
• 23.83.133.181
• 23.83.133.193
• 23.83.133.196
• 23.83.133.25
• 23.83.133.28
• 23.83.133.29
• 23.83.133.37
• 23.83.133.38
• 23.83.133.48
• 23.83.133.60
• 23.83.133.63
• 3.33.243.145
• 31.220.50.16
• 45.138.172.233
• 45.147.228.164
• 45.147.228.54
• 45.147.229.101
• 45.147.229.147
• 45.147.229.202
• 45.147.229.203
• 45.147.229.47
• 45.153.240.52
• 45.153.240.54
• 45.153.241.203
• 45.153.241.84
• 45.153.241.89
• 45.153.241.93
• 45.153.242.132
• 45.153.242.73
• 45.153.242.75
• 45.153.242.92
• 45.153.242.93
• 5.196.104.158
• 51.210.138.76
• 51.210.138.82
• 51.79.108.64
• 51.79.168.170
• 51.79.168.173
• 51.79.168.174
• 51.79.236.134
• 51.79.236.143
• 51.79.236.144
• 51.89.215.246
• 64.44.141.15
• 64.44.141.16
• 64.44.141.17
• 64.44.141.18
• 64.44.141.23
• 64.44.141.251
• 64.44.141.252

Domains

• fz9buhqmal.pencils.farm
• heroesvillainsnft.xyz
• jqueryservice.pro
• m.noox.farm
• navercomb.tech
• naverorteam.link
• navreteam.tech
• navsvcorp.tech
• navvsecurity.tech
• nawerteam.tech
• noox.farm
• nooxdao.net
• nooxdao.top
• nooxlabs.net
• nooxnft.net
• nresxn.xyz
• nxmnv.site
• pencils.farm
• peth.top
• pooleth.top
• unisocks.net
• unisockshub.com
• vwg9epio2y.pencils.farm
• wildcard.noox.farm
• www.noox.farm
• www.nooxdao.net
• www.pencils.farm
• www.peth.top
• www.unisockshub.com

Additions Domains

• UNC3782

Emails

• gameproducters@outlook.com
• hostingerk1@hotmail.com
• hostingerk2@hotmail.com
• kimkl0222@hotmail.com
• laris081000@outlook.com
• Laris081003@hotmail.com
• modric4267@protonmail.com
• mouraesse@gmail.com
• mynfthostinger1@hotmail.com
• naverhostinger1@hotmail.com
• naverhostinger2@hotmail.com
• naverhostinger3@hotmail.com
• peterstewart0326@gmail.com
• specialcnc05@gmail.com
• specialcnc06@gmail.com
• specialcnc07@gmail.com
• tony42671@hotmail.com
• tree99111@hotmail.com
• williama824@hotmail.com

Blockchain Address

• 0xa1f7c63fe3fe78246664d996211f2b888eec59b7
• 0xBC3DEC159044a6349fd1e603e400C220306694fA
• 0xe2D4C648776ace65D8A745e06B5dD4338DBD152C
• 0xEc3Eb0f8a34ceEbeE33dE64FCF96c455FA2fF1C0