APT38:进行金融犯罪的朝鲜官方组织/APT28近期ioc汇总

本文详细介绍了朝鲜的APT38组织,其从事金融犯罪活动,自2014年起已针对全球多家金融机构发动攻击。APT38与Lazarus有重合,并与朝鲜侦察总局有关联。另一APT组织APT28的最新IOC信息也被提及,包括X-AGENT、CompuTrace、XTUNNEL和ZEBROCY等恶意软件家族。

一、

APT38:代表朝鲜政权进行金融犯罪的威胁组织

其中有很多IOC信息是与lazarus有重合,fireeye将其中负责金融犯罪的部分组织重新命名为APT38,以便更好进行研究。

简版:

https://www.fireeye.com/blog/threat-research/2018/10/apt38-details-on-new-north-korean-regime-backed-threat-group.html

详细版:

https://content.fireeye.com/apt/rpt-apt38

2014年以来,该组织已入侵至少11个国家、超过16个金融机构。

受害银行包括

2015年11月越南银行Tien Phong Bank

2016年2月孟加拉银行Bangladesh Bank

2017年10月台湾远东国际商业银行

2018年1月墨西哥外贸银行Bancomext

2018年5月智利银行Banco de Chile

640?wx_fmt=png

攻击时间线

640?wx_fmt=png

该组织人员在地下论坛的留言

640?wx_fmt=png

该组织与Lab 110,Park Jin Hyok,朝鲜侦察总局(RGB)之间的关系

640?wx_fmt=png

APT38攻击生命周期

640?wx_fmt=png

Lab 110于中国东北地区的一些公司进行运营,

如大连的朝鲜合资企业: Chosun Expo Joint Venture

沈阳贸易公司: Chosun Baeksul Trading Company。

类似的部门,包括东南亚、东欧和中国的其他地区也会有这些合作。

朝鲜的恶意代码开发者均从朝鲜的大学招募而来,并直接进入军事单位,比如Lab110。Kim Chaek University of Technology和Kim Il Sung Military Science University这些机构专门提供教育培训。

640?wx_fmt=png

二、

APT28 ,10月4日攻击汇总报告

https://www.ncsc.gov.uk/content/files/protected_files/article_files/NCSC_APT28_Advisory.pdf

以下几个该组织已知家族新ioc

1、

X-AGENT 

640?wx_fmt=png

2、

CompuTrace

3、

XTUNNEL

4、

ZEBROCY

三、FIN7与FIN8攻击手段差异性比较

640?wx_fmt=png

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值