#APT38 #DYEPACK #FireEye
حمله مدام پیشرفته APT38 منتصب است به تیمی دولتی از کشور کره شمالی است، که هدفش هک کردن بانک ها و زیرساخت های تجاری و موسسه های مالی بوده است.
بدافزار طراحی شده با نام DYEPACK توسعه داده شده که متمرکز بر هدف قرار دادن سیستم های SWIFT است. بعد از جمع آوری اطلاعات در سطح سه تعریف میشود، تیم اقدام به بهره برداری از یک آسیب پذیری ای در خصوص Apache Struts2 کرد که منجر به ایجاد دسترسی اولیه شد.
این آسیب پذیری با شناسه CVE-2019-0230 ثبت شده که از نوع Double OGNL Evaluation که ورودی خام رو مبتنی بر tag attributes دریافت کرده و مهاجم امکان ارسال کد مخرب مبتنی بر ساختار OGNL رو پیدا کرده و RCE رو عملیاتی کرده است.
اما مرحله جمع آوری اطلاعات داخلی بواسطه Backdoor نصب شده به مدت دو سال به طول انجامیده و با استفاده از Sysmon تمام تراکنش های سیستم SWIFT بانک رو نظارت مشاهده کرده است.
اما APT38 بواسطه DYEPACK بسیاری از Transaction های سیستم SWIFT رو Hijack کرده و این Collection بدافزاری بواسطه ارسال درخواست های SQL اقدام به دستکاری Record های SWIFT میکرده که حاصل آن دو بیلیون دلار بوده.
حمله مدام پیشرفته APT38 منتصب است به تیمی دولتی از کشور کره شمالی است، که هدفش هک کردن بانک ها و زیرساخت های تجاری و موسسه های مالی بوده است.
بدافزار طراحی شده با نام DYEPACK توسعه داده شده که متمرکز بر هدف قرار دادن سیستم های SWIFT است. بعد از جمع آوری اطلاعات در سطح سه تعریف میشود، تیم اقدام به بهره برداری از یک آسیب پذیری ای در خصوص Apache Struts2 کرد که منجر به ایجاد دسترسی اولیه شد.
این آسیب پذیری با شناسه CVE-2019-0230 ثبت شده که از نوع Double OGNL Evaluation که ورودی خام رو مبتنی بر tag attributes دریافت کرده و مهاجم امکان ارسال کد مخرب مبتنی بر ساختار OGNL رو پیدا کرده و RCE رو عملیاتی کرده است.
اما مرحله جمع آوری اطلاعات داخلی بواسطه Backdoor نصب شده به مدت دو سال به طول انجامیده و با استفاده از Sysmon تمام تراکنش های سیستم SWIFT بانک رو نظارت مشاهده کرده است.
اما APT38 بواسطه DYEPACK بسیاری از Transaction های سیستم SWIFT رو Hijack کرده و این Collection بدافزاری بواسطه ارسال درخواست های SQL اقدام به دستکاری Record های SWIFT میکرده که حاصل آن دو بیلیون دلار بوده.
👍1