北朝鮮と同盟関係にあるTAG-71がアジアと米国の金融機関になりすます

インシクトグループは、日本、ベトナム、米国の複数の金融機関やベンチャーキャピタルになりすました悪意のあるサイバー脅威活動を発見しました。 脅威活動グループ71(TAG-71)と呼ばれるこのグループは、北朝鮮の国家支援機関であるAPT38と大きく重複しています。 2022年9月から2023年3月の間に、Insikt GroupはTAG-71の活動に関連する74のドメインと6つの悪意のあるファイルを発見しました。

TAG-71は、これまでに日本、台湾、米国の金融機関やクラウドサービスに属するドメインを偽装することが確認されています。 2022年3月、Insikt Groupは、TAG-71に関連する18の悪意のあるサーバーを特定しましたが、これらは一般に報告されたCryptoCoreキャンペーンにも関連していました。 これらのサーバーは、マルウェアの配信、フィッシング、コマンド&コントロール操作に使用され、多くの場合、人気のあるクラウドサービスや暗号通貨取引所になりすましていました。

北朝鮮政府には、世界中の暗号通貨取引所、商業銀行、電子商取引決済システムを標的とした、金銭的な動機による侵入キャンペーンの歴史があります。 TAG-71の最近の活動はこのパターンと一致しており、北朝鮮が国際的な制裁に直面しながら資金を捻出するための継続的な努力を示しています。 投資銀行やベンチャーキャピタルのなりすましは、機密情報の漏洩、法的措置、交渉の混乱、戦略的投資ポートフォリオの損害などのリスクをもたらします。

記録された将来のインテリジェンスクラウドの 侵入分析のダイヤモンドモデル にマッピングされたTAG-71のIOCを選択します

TAG-71の活動を軽減するために、Insikt Groupは、グループに関連付けられたIPアドレスとドメインへの接続をブロックするように侵入検知システムを構成することを推奨しています。 Insikt Groupの親会社であるRecorded Futureのクライアントも、コマンドアンドコントロールセキュリティコントロールフィードに記録されたコマンドアンドコントロールサーバーをブロックする必要があります。 さらに、組織は、フィッシングの試み、疑わしいドメイン、不正なドキュメントを認識するために、従業員と顧客のセキュリティ意識を強化する必要があります。 ドメインの不正使用を監視し、Recorded Futureのブランドインテリジェンスモジュールを通じて不正なドメインの削除を開始することもお勧めします。

全体として、TAG-71のキャンペーンは、北朝鮮の国家支援を受けた脅威アクターの過去の活動と一致しており、金融会社や投資会社、およびその顧客にリスクをもたらしています。 推奨される軽減策を実装すると、これらの悪意のあるアクティビティから組織を保護するのに役立ちます。

文末脚注付きの分析全体を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。