#APT38 #DYEPACK #FireEye
حمله مدام پیشرفته APT38 منتصب است به تیم دولتی از کشور کره شمالی، که هدفش بانک ها و زیرساخت های تجاری و موسسه های مالی است.

بدافزار طراحی شده این تیم با نام DYEPACK توسعه داده شده که متمرکز بر هدف قرار دادن سیستم های SWIFT است. بعد از جمع آوری اطلاعات در سطح سه، تیم اقدام به بهره برداری از یک آسیب پذیری در خصوص Apache Struts2 کرده که منجر به ایجاد دسترسی اولیه شده است.

این آسیب پذیری با شناسه CVE-2019-0230 ثبت شده که از نوع Double OGNL Evaluation بوده، که ورودی خام رو مبتنی بر tag attributes دریافت کرده و مهاجم امکان ارسال کد مخرب مبتنی بر ساختار OGNL رو پیدا میکند.

اما مرحله جالب توجه، بحث جمع آوری اطلاعات داخلی بواسطه Backdoor نصب شده که به مدت دو سال به طول انجامیده و با استفاده از Sysmon تمام تراکنش های سیستم SWIFT بانک رو نظارت میکرده است.

تیم بواسطه DYEPACK به Transaction های سیستم SWIFT دسترسی پیدا کرده و با Collection بدافزاری خود، بواسطه ارسال درخواست های SQL به پایگاه داده، اقدام به دستکاری Record های SWIFT کرده است که حاصل آن 1.1 بیلیون دلار بوده.

@Unk9vvN