مجموعة التهديدات الكورية الشمالية APT38 التهديد | استشارة إنتل

تقدم CloudSek استشارات استخباراتية عن التهديدات حول مجموعة التهديدات APT38 التي ترعاها الدولة الكورية الشمالية، والتي يتمثل هدفها الأساسي في القطاع المالي.

تم التحديث بتاريخ

April 17, 2026

تم النشر في

January 28, 2021

اقرأ الدقائق

اشترك في أحدث أخبار الصناعة والتهديدات والموارد.

جدول المحتويات

هذا أيضًا عنوان
هذا عنوان

استشارة

استخبارات الخصم

الاسم

APT38

الأصل

كوريا الشمالية

الهدف

القطاعات المالية - البنوك

البلدان المستهدفة

روسيا، بولندا، أوروغواي، الولايات المتحدة، المكسيك، تشيلي، البرازيل، تركيا، الهند، بنغلاديش، ماليزيا، تايوان، فيتنام، الفلبين

ملخص تنفيذي

APT38 هي مجموعة تهديد كورية شمالية ترعاها الدولة، ومن المعروف أنها تستهدف بشكل أساسي القطاع المالي؛ كان أول ظهور لهذه المجموعة في عام 2014. نظرًا لأن التركيز الرئيسي لهذه المجموعة هو صناعة التمويل، فإنها تستخدم احتيال SWIFT لسرقة الأموال من المنظمات المصابة، حيث تم تحديد معظم ضحاياها لاستخدام أدوات SWIFT. يستخدم APT38 الأدوات والبرامج الضارة التي تعد جزءًا من ترسانة مجموعات Lazarus و Temp.Hermit. هذه العصابات الإجرامية هي أيضًا مجموعات تهديدات ترعاها الدولة الكورية الشمالية، ولكن مع أنواع أهداف مختلفة. تشير الأنشطة الأخيرة لـ APT38 إلى أن مجموعة التهديد تستخدم الاستطلاع لجمع المعلومات حول البنية التحتية المصرفية الهندية، بهدف تنفيذ المزيد من الهجمات.

التأثير

التأثير الفني

تدمير البنية التحتية للنظام
تشفير البيانات

تأثير الأعمال

الخسارة المالية للمنظمة المستهدفة
التجسس
تسرب البيانات
فقدان البيانات

التخفيف

استخدم برامج محدثة
تطبيق نسخة احتياطية منتظمة للبيانات
تطبيق الوصول الأقل امتيازًا للملفات والأدلة
تشفير المعلومات الحساسة
تقييد المحتوى المستند إلى الويب
حافظ على تخزين البيانات عن بُعد

التحليل الفني

التنفيذ

تقوم المجموعة في البداية بجمع أكبر قدر ممكن من المعلومات حول هدفها، بدءًا من جمع المعلومات إما عن أحد موظفي الهدف أو موردي الطرف الثالث (أنظمة SWIFT).
بعد جمع المعلومات، يقوم المهاجمون بتهيئة الوصول باستخدام طريقة هجوم Watering Hole، أو يستفيد المهاجمون من أي خادم Linux قديم موجود به نقاط ضعف.
في الخطوة التالية، يقومون بإجراء استطلاع داخلي للبيئة المصابة باستخدام مجموعة من البرامج الضارة والأدوات الداخلية لفحص النظام.
بمجرد أن يجمع المهاجمون المعلومات المطلوبة، يبدأون في الانتقال إلى خوادم SWIFT (إن وجدت) وتثبيت البرامج الضارة اللازمة لإجراء الاستطلاع في الخوادم المصابة وزرع الأبواب الخلفية داخل تلك الخوادم.
في هذه المرحلة، يبدأ المهاجمون في تنفيذ البرامج الضارة التي تمكنهم من إدخال معاملات SWIFT الاحتيالية لتحويل الأموال إلى حسابات أخرى يمكن أن تكون موجودة في بلدان أخرى.
في المرحلة النهائية، يحاول المهاجمون تدمير أي دليل على وجودهم في النظام المصاب. تشمل الإجراءات التي يتم اتخاذها حذف ملفات السجل ومسح القرص، وفي بعض الحالات قد يستخدمون برامج الفدية لإحباط الاكتشاف المستقبلي.

التكتيكات والتقنيات والإجراءات

التكتيكات

تقنيات

الوصول الأولي

T1189حل وسط من سيارة إلى أخرى

التنفيذ

T1089.003غلاف الأوامر لنظام التشغيل Windows

التهرب الدفاعي

T1070.001مسح سجلات أحداث WindowsT1070.004حذف ملفT1112تعديل التسجيلT1027.002تعبئة البرامج

الوصول إلى بيانات الاعتماد

T1056.001تسجيل المفاتيح

اكتشاف

T1057اكتشاف العمليةT1016اكتشاف تكوين شبكة النظام

مجموعة

T1115بيانات الحافظةT10156.001تسجيل المفاتيح

القيادة والتحكم

T1071.001بروتوكولات الويبT1105نقل أداة الدخول

التأثير

T1485تدمير البياناتT1486البيانات المشفرة للتأثيرT1565.001معالجة البيانات المخزنةT1565.002معالجة البيانات المرسلةT1565.003معالجة بيانات وقت التشغيلT1561.002مسح بنية القرصT1529إيقاف تشغيل النظام/إعادة التشغيل

الأدوات والبرامج الضارة المستخدمة

الضفدع الأعمىحطام السفينةصينية الجبنطريق نظيفأقفل لهادارك كوميتDYEPACKديباك. فوكسهيرميسهوت واوكسجي إس بي سبايكيلايممصمم خرائطجبنة ناتشونيستيجمقهى سريعركوب سريعكويك رايد. باورراتانكابوسجلد خامشال أحمرفرشاة تنظيفقطة مظللةتنحيفرحلة سلسةآسف، أيها الغاشمتبرئةالثقب الدوديميميكاتزشبكة

مؤشرات التسوية

IPv

67.43.239.146185.62.58.207210.52.109.255210.52.109.22175.45.179.255175.45.178.222

رابط

http://loneeaglerecords.com/wp-content/uploads/2020/01/images.tgz.001https://loneeaglerecords.com/wp-content/uploads/2020/01/images.tgz.001

الدومين

loneaglerecords.com

اسم المضيف

movis-es.ignorelist.comعلى link.epac.topubs.ignorelist.comrepview.ignorelist.comتحميل المعلومات.ns360تحميل المعلومات.ns360statis.ignorelist.comgeodb.ignorelist.combitdefs.ignorelist.com

فايل هاش

fe83d95ace63e935 dbe22 aef40a164 ce34f4e5fa3deb60b8a2eaa29a7dcf14bee6ade81f442fea2e43f075e7573 c7a131e5cb4fa1ec70a90c5c4862e206b9a79254 f3fcc556 f75711 c03287f1 تيار مستمرf05437 d510287448325 bac 98a1378de181f8f0526740 b55fe484 c42126 cd8396ب 1984 ج 67 بيار 3 ب 974 قدم 7 د 9 أ 9073 فا 2024e28cb5e42eb0fe813ac9892eb7cbe846d8647 d27a0d729d40b13a644f3bfd95f6d0e600 f2195c85628 d59f1dc6899 e66 ed95686 a06394 f707 dd09b7c 29 af68f95d22136 f0a023bfd01390ad53d3235a29d254d0b73ff8 b5445c962 cd3b841 f487469 d60a02819 c0eb347111 dd216a83e54c48a75b7e071d0262d98739c840fd8c6d0b48a9c166b69acd57d310 قدم 5 قدم 1 بد7 قدم مربع 305023 سم 955 عرض 550 64 عرض 828

كهف

CVE-2017-0144CVE-2016-1019CVE-2016-4119CVE-2015-8651

CloudSek Platform عبارة عن منصة خالية من التعليمات البرمجية تعمل على تشغيل منتجاتنا بقدرات تحليلية تنبؤية للتهديدات.

جدول المحتويات

هذا أيضًا عنوان
هذا عنوان

المشاركات الأخيرة

المقالات الأخيرة

مطالبة Cowin بتسريب البيانات وتحليل CloudSek

June 12, 2023

تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS

May 29, 2023

احصل على معلومات التهديدات العالمية في الوقت الفعلي

قم بحماية عملك من التهديدات الإلكترونية باستخدام بيانات معلومات التهديدات العالمية في الوقت الفعلي.. تجربة مجانية لمدة 30 يومًا وبدون التزام.

جدولة عرض تجريبي

بيانات معلومات التهديدات في الوقت الحقيقي

مزيد من المعلومات والسياق حول الدردشة تحت الأرض

خدمات البحث حسب الطلب

موجز معلومات التهديدات العالمية

قم بالحماية والمضي قدمًا الذكاء القابل للتنفيذ

إن Global Cyber Threat Intelligence Feed عبارة عن منصة مبتكرة تجمع المعلومات من مصادر مختلفة لمساعدة الشركات والمؤسسات على البقاء في صدارة الهجمات الإلكترونية المحتملة. توفر هذه الخلاصة تحديثات في الوقت الفعلي للتهديدات الإلكترونية، بما في ذلك البرامج الضارة وعمليات الاحتيال الاحتيالي وغيرها من أشكال الجرائم الإلكترونية.

موثوق بها من قبل أكثر من 400 مؤسسة رائدة

ابدأ

تعرف على المزيد