FireEye发布了有关其认为代表朝鲜政权进行金融犯罪的威胁组织的详细信息，该组织从全球银行窃取数亿美元。该组织特别具有攻击性;他们经常使用破坏性恶意软件在盗窃后使受害者网络无法运行。而更重要的是，经过外交努力，以及包括最近司法部（DOJ）的投诉，迄今为止并没有能阻止该行动。我们称这个组织为APT38。

我们正在发布一份特别报告，即APT38: Un-usual Suspects，揭露这种积极和严重威胁行动所使用的方法，并从FireEye独特视角解读攻击者生命周期，补充其他人为揭露这些行动所做的早期努力。

我们从APT38精心执行的行动中观察到其财务动机、独特工具集以及战术、技术和程序（TTP）等特性，可以与其他朝鲜网络活动分开。不过，我们认为它与其他操作有许多重叠的特征，如Lazarus（我们称之为TEMP.Hermit）;但是，我们将这一组织与其他朝鲜网络活动分开是为了让防护者更加专注的了解对手，并允许他们优先考虑资源并实现防御。以下是APT38与其他朝鲜攻击者的不同的以及相似的一些方式：

· 我们发现APT38行动与其他朝鲜攻击者的行动有明显的区别，包括我们称之为TEMP.Hermit的攻击者。调查表明，他们针对不同的目标采取了不同的行动，并依赖于不同的TTP;但是，正在使用的恶意软件工具重叠或展示共享特征，这表明共享开发人员或访问相同的代码存储库。正如司法部的投诉所显示的那样，还有其他共享资源，例如可能协助多项工作的人员。

· 2016 Novetta report报告详细介绍了安全供应商的工作，这些供应商介绍了与2014年针对Sony Pictures Entertainment的破坏性攻击相关的工具和基础设施。该报告详细介绍了与一系列开发商和运营商相关的恶意软件和TTP，他们称之为“Lazarus”，这个名称已经成为朝鲜侵略的网络运营的代名词。

· 从那时起，公开报告将其他行动归因于Lazarus组织，原因有很多，主要基于在已确定的攻击中利用的恶意软件的相似性。而随着时间的推移，这些恶意软件的相似性也不同，目标，预期结果和TTP也是如此，几乎可以肯定的表明这项行动是由多个运营组织组成，他们共享恶意软件开发资源并与朝鲜联系在一起。

自2014年以来，APT38已在至少11个国家/地区开展业务，有时会同时进行，表明该组织拥有的资源庞大和多产的业务。以下是有关APT38定位的一些细节：

· 考虑到受影响组织的低事故报告率，APT38所针对的组织总数可能更高。

· APT38的特点是长期规划，在窃取金钱之前延长访问受害者环境的时间，在混合操作系统环境中流畅使用定制开发的工具，以及达成目标之后破坏受感染的机器。

· 该小组非常谨慎，仅在必要时才保持对受害者环境的访问，以便了解网络布局，所需权限和系统技术以实现其目标。

· 据分析，我们观察到APT38在受害者网络中平均驻留了大约155天，在受感染环境中的最长时间为两年。

· 在公开报道的盗窃案中，APT38试图从金融机构窃取超过11亿美元的资金。

调查许多受害组织的入侵过程，为我们提供了对APT38整个攻击生命周期的独特视角。图1包含APT38在其运营的不同阶段使用观察到的恶意软件系列的细分。在更高层次上，他们针对金融机构和后续盗窃的目标遵循相同的模式：

1.信息收集：对人员和目标第三方供应商进行研究，可能会访问SWIFT系统，以了解SWIFT交易的机制。

2.初始感染：依赖于水坑攻击并利用不安全的过时版本的Apache Struts2在系统上执行代码。

3.内部侦察：部署恶意软件以收集凭据，映射受害者的网络拓扑，并使用受害者环境中已存在的工具来扫描系统。

4.转向SWIFT服务器：在SWIFT系统上安装侦察恶意软件和内部网络监控工具，以进一步了解SWIFT如何配置。

5.转移资金：部署并执行恶意软件以插入欺诈性SWIFT交易并更改交易历史记录。通过多笔交易将资金转移到其他银行设立的账户，这些银行通常位于不同的国家，以便进行洗钱。

6.销毁证据：安全删除日志，部署和执行磁盘擦除恶意软件，掩盖㾗迹并破坏取证分析。

图1：APT38攻击生命周期

APT38的独特之处在于，作为其运营的一部分，它积极的销毁证据和破坏受害者网络。这种方式可能是该组织试图掩盖其踪迹，以及为洗钱活动提供掩护的结果。

除了网络运营之外，公开报告还详细介绍了国内的招聘及合作，以支持APT38盗窃链条的末端，包括负责洗钱以及与被盗银行接收银行互动的人员。这增加了支持APT38行动的多个组件之间的复杂性和必要的协调。

尽管努力的限制其行动，但APT38仍对全球金融机构保持活跃和危险。据保守估计，该组织已盗窃了超过一亿美元的资金。此外，鉴于他们尝试的盗窃规模庞大，以及摧毁目标网络的倾向，APT38应被视为该行业的严重风险。