1 июня

КНДР использует VPN, ИИ и резидентные IP в скрытой сети

Расследование, начавшееся после того, как security researcher ZachXBT связал domain luckyguys.site с мошеннической деятельностью IT-специалистов, связанных с КНДР, позволило в течение 30 days выявить ряд характерных сетевых паттернов. Наблюдения указывают на использование VPN, residential IP-адресов и cloud-сервисов, а также на стремление операторов быстро отказываться от инфраструктуры после публичной attribution.

Что показал анализ infrastructure

Исследование traffic к связанному IP-адресу выявило концентрированное использование Astrill VPN — сервиса, который historically ассоциируется с IT-operations КНДР. После того как domain был публично раскрыт 8 апреля, traffic к указанному IP-адресу резко снизился. По оценке исследователей, это соответствует типичному поведению злоумышленников, которые прекращают использование infrastructure после того, как она становится identifiable.

Такое поведение подчеркивает высокую sensitivity к видимости. Иными словами, cyber-actors КНДР, судя по всему, actively monitor любые признаки раскрытия и оперативно меняют схему работы, когда их activity становится публичной.

Residential IP и cloud-сервисы

Помимо VPN, в ходе расследования были зафиксированы both американские and латвийские residential IP-адреса, взаимодействующие с infrastructure. Это указывает на распределенную модель доступа, в которой могут использоваться домашние системы и удаленные посредники.

Также наблюдалась частая связь с cloud-сервисами, прежде всего с Gmail, и AI-tools, включая ChatGPT. Такой набор инструментов соответствует ранее опубликованным выводам о том, что IT-workers, связанные с КНДР, используют AI-applications для помощи в выполнении своих задач.

Наблюдаемые паттерны согласуются с оперативной тактикой киберакторов из КНДР и указывают на распределенную сеть удаленных пособников.

Фриланс-платформы и ложные предлоги

Отдельное внимание в расследовании уделено тому, что operators поддерживают profiles на freelance platforms, таких как Workana, чтобы получать remote work под false pretenses. Это расширяет картину их деятельности: помимо технической инфраструктуры, используется и социальная маскировка, необходимая для входа в легитимные рабочие процессы.

использование Astrill VPN;
применение residential IP-адресов, включая US и Latvia;
активность через Gmail;
использование ChatGPT и других AI-tools;
ведение profiles на Workana и аналогичных платформах.

Дополнительный IP подтвердил выводы

Обнаружение дополнительного IP-адреса, связанного с infrastructure luckyguys.site, дополнительно укрепило выводы исследователей. Этот second IP также продемонстрировал заметное снижение traffic после publication информации.

По мнению аналитиков, повторение этой динамики подтверждает, что сеть действует как distributed network remote helpers, которые, вероятно, используют home systems для обеспечения своих операций. В совокупности эти признаки формируют устойчивую картину: инфраструктура быстро сворачивается после раскрытия, а доступ к ней обеспечивается через гибридную схему из VPN, residential IP и cloud-аккаунтов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Автор: Технологии киберугроз

Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.

Комментарии: