一、
APT38:代表朝鲜政权进行金融犯罪的威胁组织
其中有很多IOC信息是与lazarus有重合,fireeye将其中负责金融犯罪的部分组织重新命名为APT38,以便更好进行研究。
简版:
https://www.fireeye.com/blog/threat-research/2018/10/apt38-details-on-new-north-korean-regime-backed-threat-group.html
详细版:
https://content.fireeye.com/apt/rpt-apt38
2014年以来,该组织已入侵至少11个国家、超过16个金融机构。
受害银行包括
2015年11月越南银行Tien Phong Bank
2016年2月孟加拉银行Bangladesh Bank
2017年10月台湾远东国际商业银行
2018年1月墨西哥外贸银行Bancomext
2018年5月智利银行Banco de Chile

攻击时间线

该组织人员在地下论坛的留言

该组织与Lab 110,Park Jin Hyok,朝鲜侦察总局(RGB)之间的关系

APT38攻击生命周期

Lab 110于中国东北地区的一些公司进行运营,
如大连的朝鲜合资企业: Chosun Expo Joint Venture
沈阳贸易公司: Chosun Baeksul Trading Company。
类似的部门,包括东南亚、东欧和中国的其他地区也会有这些合作。
朝鲜的恶意代码开发者均从朝鲜的大学招募而来,并直接进入军事单位,比如Lab110。Kim Chaek University of Technology和Kim Il Sung Military Science University这些机构专门提供教育培训。

二、
APT28 ,10月4日攻击汇总报告
https://www.ncsc.gov.uk/content/files/protected_files/article_files/NCSC_APT28_Advisory.pdf
以下几个该组织已知家族新ioc
1、
X-AGENT

2、
CompuTrace
3、
XTUNNEL
4、
ZEBROCY
三、FIN7与FIN8攻击手段差异性比较

本文详细介绍了朝鲜的APT38组织,其从事金融犯罪活动,自2014年起已针对全球多家金融机构发动攻击。APT38与Lazarus有重合,并与朝鲜侦察总局有关联。另一APT组织APT28的最新IOC信息也被提及,包括X-AGENT、CompuTrace、XTUNNEL和ZEBROCY等恶意软件家族。
684

被折叠的 条评论
为什么被折叠?



