Kripto soygunlarıyla ünlü bir Kuzey Kore ulus-devlet grubu, bir dizi sektör dikeyini hedef alan “yayılan” bir kimlik bilgisi toplama faaliyetinin bir parçası olarak yeni bir kötü niyetli e-posta saldırısı dalgasına atfedildi ve stratejisinde önemli bir değişime işaret etti.
Durumla uyumlu tehdit aktörü, Proofpoint tarafından şu adla izleniyor: TA444ve APT38, BlueNoroff, Copernicium ve Stardust Chollima gibi daha büyük siber güvenlik topluluğu tarafından.
Kurumsal güvenlik firması TA444, “blok zinciriyle ilgili cazibelerin yanı sıra daha geniş bir dağıtım yöntemi ve yük yelpazesi, prestijli firmalarda sahte iş fırsatları ve kurbanları tuzağa düşürmek için maaş ayarlamaları kullanıyor” diyor. dedim The Hacker News ile paylaşılan bir raporda.
Gelişmiş kalıcı tehdit, operasyonlarının finansal olarak motive edilmesi ve Hermit Krallığı için yasadışı gelir elde etmeye yönelik olması nedeniyle, devlet destekli gruplar arasında bir tür anormalliktir.
Bu amaçla, saldırılar kimlik avı e-postalarıgenellikle kurbanın ilgi alanlarına göre uyarlanmış, LNK dosyaları ve ISO optik disk görüntüleri gibi kötü amaçlı yazılım bulaşma zincirini tetikleyen eklerle dolu.
Diğer taktikler arasında, bubi tuzaklı bağlantılar göndermeden önce hedeflere yaklaşmak ve onlarla etkileşim kurmak için meşru şirket yöneticilerine ait güvenliği ihlal edilmiş LinkedIn hesaplarının kullanılması yer alır.
Bununla birlikte, Aralık 2022’nin başlarındaki daha yeni kampanyalar, “önemli bir sapmaya” tanık oldu; burada kimlik avı mesajları, alıcıları bir kimlik bilgileri toplama sayfasına yönlendiren bir URL’yi tıklamaya sevk etti.
E-posta patlaması, ABD ve Kanada’da finans sektörünün yanı sıra eğitim, hükümet ve sağlık hizmetleri dahil olmak üzere çeşitli sektörleri hedef aldı.
Deney bir yana, TA444’ün CageyChameleon’un (namı diğer CabbageRAT) işlevselliğini kurban profili oluşturmaya daha fazla yardımcı olacak şekilde genişlettiği ve aynı zamanda geniş bir yelpazeyi koruduğu gözlemlendi. cephanelik hırsızlığı kolaylaştırmak için sömürü sonrası araçlar.
Proofpoint, “2022’de TA444, kripto para birimlerine odaklanmasını yeni bir düzeye taşıdı ve gelir akışlarını genişletmeye yardımcı olmak için çeşitli enfeksiyon zincirlerini test ederek siber suç ekosistemini taklit etmeye başladı.” dedi.
Bulgular, ABD Federal Soruşturma Bürosu’nun (FBI) BlueNoroff aktörlerini Haziran 2022’de Harmony Horizon Bridge’den çalınan 100 milyon dolarlık kripto para hırsızlığını gerçekleştirmekle suçlamasıyla geldi.
Proofpoint’ten Greg Lesnewich, “Bir başlangıç zihniyeti ve kripto para birimi tutkusu ile TA444, aklanabilir fonlar getirerek Kuzey Kore’nin rejim için nakit akışı oluşturmasına öncülük ediyor” dedi. “Bu tehdit aktörü, sosyal medyayı işlerinin bir parçası olarak benimserken hızla yeni saldırı yöntemleri düşünüyor. [modus operandi].”
Grup, “rejime kullanılabilir fonlar sağlamak için kripto para birimini bir araç olarak kullanma çabalarına devam ediyor” diye ekledi.