新成立的APT组织：APT43的目标与手法

关键要点

• APT43 是与朝鲜国家侦察局相关联的新兴APT（高级持续性威胁）组织，积极针对美国及西方国家的政府、智库和学术界。
• 该组织的主要目标是收集战略情报，聚焦于外交政策和核武器项目。
• 他们使用社交工程等手段，而非复杂的攻击技术，进行网络间谍活动。
• APT43 通过网络犯罪和盗窃来资助自身运营，利用被害者的数字资产进行洗钱和获利。

根据Mandiant的报告，一个新分类的APT组织APT43（有时被称为“金水黑客”）与朝鲜的国家侦察局有关，正在积极使用“高产”和“激进”的社交工程战术来攻击美国和西方的政府、智库及学术机构。

虽然平壤拥有多个专门的黑客组织，APT43被认为与独裁者金正恩及其统治精英的个人和地缘政治目标紧密相连。

该组织的主要任务是为“隐士王国”收集战略情报，特别是在外交政策和核武器项目相关问题上，最近还将注意力转向医疗保健领域，可能是因应COVID-19疫情的影响。

与许多APT组织不同，APT43并不依赖零日漏洞、独特的恶意软件或先进的入侵技术。他们的作战方式是通过社交工程，伪装成记者、研究人员和其他角色，诱使目标泄露地缘政治洞察或来自被视为对朝鲜利益有敌意的政策制定者和国家的交流信息。

他们主要的工具包括：

工具 | 描述
—|—
瞄准钓鱼（Spear Phishing） | 通过邮件诱骗目标获取敏感信息
凭证收集 | 收集用户登录信息
虚假身份 | 伪装成可信任的个体进行交互
假冒网站域名 | 创建看似合法的网站以获取信息

Mandiant的首席分析师迈克尔·巴恩哈特（Michael Barnhart）在接受SCMedia采访时指出：“他们的复杂性不足，但在数量上弥补这一点，针对100个目标，他们只需要一两个能够上钩，因为这样就能利用一个被攻陷的账户获取联系人，然后立即重复这一过程，针对全新的一组联系人。”

APT43以详细询问目标有关朝鲜武器计划的问题而知名，试图洞悉美国、韩国、日本及西欧政策制定者的决策过程。在一些情况下，该组织被观察到在朝鲜发射导弹或金正恩发表挑衅性声明后的几小时或几天内，迅速发送新的钓鱼邮件，意在评估地缘政治敌对方的反应。

APT43在2017年伪装成记者询问朝鲜导弹发射的一封钓鱼邮件示例。来源：Mandiant

像许多朝鲜黑客组织一样，APT43预计也会通过盗窃和网络犯罪为自己筹集资金。他们通过盗取和洗钱受害者的数字加密货币钱包来实现这一目标，同时利用杂凑租赁和云挖矿服务来生成新的加密货币。这些资金随后用来购买更多的基础设施和工具，以支持他们的黑客活动。

Mandiant的首席分析师约瑟夫·道布森（JosephDobson）表示：“通常来说，这个威胁组很灵活，能够采取任何可能的方式获取利益。因此如果他们在受害者的电脑上拥有恶意软件，若你的本地钱包保存在机器上，这些钱包的密钥通常以文件形式存储，而现在很多时候这些文件仍然没有加密，他们可以轻易提取该文件，并获得你的钱包密钥，随意移动资金。”

虽然Mandiant自2018年以来一直在追踪该组织，但如今谷歌旗下的威胁情报单位已将其正式认定为一个高级持续性威