Mit Nordkorea verbündetes TAG-71 täuscht Finanzinstitute in Asien und den USA vor

Die Insikt Group hat bösartige Cyber-Bedrohungsaktivitäten entdeckt, die sich gegen mehrere Finanzinstitute und Risikokapitalfirmen in Japan, Vietnam und den USA richteten. Die verantwortliche Gruppe, die als Threat Activity Group 71 (TAG-71) bezeichnet wird, weist erhebliche Überschneidungen mit der vom nordkoreanischen Staat gesponserten APT38 auf. Zwischen September 2022 und März 2023 entdeckte die Insikt Group 74 Domänen und 6 schädliche Dateien, die mit den Aktivitäten von TAG-71 in Verbindung stehen.

Es wurde bereits beobachtet, dass TAG-71 Domänen von Finanzunternehmen und Cloud-Diensten in Japan, Taiwan und den USA fälschte. Im März 2022 identifizierte die Insikt Group 18 bösartige Server, die mit TAG-71 in Verbindung standen und auch mit der öffentlich bekannt gewordenen CryptoCore-Kampagne in Verbindung standen. Diese Server wurden für die Verbreitung von Malware, Phishing sowie Befehls- und Kontrolloperationen verwendet und gaben sich dabei oft als beliebte Cloud-Dienste und Kryptowährungsbörsen aus.

Die nordkoreanische Regierung hat in der Vergangenheit bereits finanziell motivierte Einbruchskampagnen durchgeführt, bei denen es um Kryptowährungsbörsen, Geschäftsbanken und E-Commerce-Zahlungssysteme weltweit ging. Die jüngsten Aktivitäten von TAG-71 folgen diesem Muster und deuten auf die anhaltenden Bemühungen Nordkoreas hin, trotz internationaler Sanktionen Geld zu beschaffen. Das Spoofing von Investmentbanken und Risikokapitalfirmen birgt Risiken wie etwa die Offenlegung vertraulicher Informationen, rechtliche Konsequenzen, gestörte Verhandlungen oder Schäden an strategischen Anlageportfolios.

Ausgewählte IOCs für TAG-71, die dem Diamantmodell der Intrusionsanalyse in der Recorded Future Intelligence Cloud zugeordnet sind

Um die Aktivitäten von TAG-71 einzudämmen, empfiehlt die Insikt Group die Konfiguration von Intrusion Detection-Systemen, um Verbindungen zu den mit der Gruppe verbundenen IP-Adressen und Domänen zu blockieren. Kunden von Recorded Future, der Muttergesellschaft der Insikt Group, sollten auch Befehls- und Kontrollserver blockieren, die im Command and Control Security Control Feed angemeldet sind. Darüber hinaus sollten Unternehmen das Sicherheitsbewusstsein ihrer Mitarbeiter und Kunden stärken, um Phishing-Versuche, verdächtige Domänen und betrügerische Dokumente zu erkennen. Darüber hinaus wird empfohlen, über das Brand Intelligence-Modul von Recorded Future auf Domänenmissbrauch zu achten und die Entfernung betrügerischer Domänen einzuleiten.

Insgesamt steht die Kampagne von TAG-71 im Einklang mit früheren Aktivitäten der vom nordkoreanischen Staat gesponserten Bedrohungsakteure und birgt Risiken für Finanz- und Investmentunternehmen sowie deren Kunden. Durch die Umsetzung der empfohlenen Schadensbegrenzungsmaßnahmen können Unternehmen vor diesen böswilligen Aktivitäten geschützt werden.

Um die gesamte Analyse mit Endnoten zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.