Se ha atribuido a un grupo de estado-naci\u00f3n de Corea del Norte conocido por criptoatracos una nueva ola de ataques de correo electr\u00f3nico maliciosos como parte de una actividad de recolecci\u00f3n de credenciales “en expansi\u00f3n” dirigida a una serie de sectores verticales de la industria, lo que marca un cambio significativo en su estrategia.<\/p>\n
Proofpoint est\u00e1 rastreando al actor de amenazas alineado con el estado bajo el nombre TA444<\/strong>y por la comunidad de seguridad cibern\u00e9tica m\u00e1s grande como APT38, BlueNoroff, Copernicium y Stardust Chollima.<\/p>\n TA444 est\u00e1 “utilizando una variedad m\u00e1s amplia de m\u00e9todos de entrega y cargas \u00fatiles junto con se\u00f1uelos relacionados con blockchain, oportunidades de trabajo falsas en empresas prestigiosas y ajustes salariales para atrapar a las v\u00edctimas”, la empresa de seguridad empresarial dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n La amenaza persistente avanzada es una especie de aberraci\u00f3n entre los grupos patrocinados por el estado en el sentido de que sus operaciones est\u00e1n motivadas financieramente y orientadas a generar ingresos il\u00edcitos para el Reino Ermita\u00f1o.<\/p>\n Con ese fin, los ataques emplean correos electr\u00f3nicos de phishing<\/a>generalmente adaptados a los intereses de la v\u00edctima, que est\u00e1n cargados de archivos adjuntos con malware, como archivos LNK e im\u00e1genes de disco \u00f3ptico ISO para desencadenar la cadena de infecci\u00f3n.<\/p>\n Entre otras t\u00e1cticas, se incluye el uso de cuentas de LinkedIn comprometidas que pertenecen a ejecutivos leg\u00edtimos de la empresa para acercarse y comprometerse con los objetivos antes de entregar enlaces con trampas explosivas.<\/p>\n Sin embargo, campa\u00f1as m\u00e1s recientes a principios de diciembre de 2022 han sido testigos de una “desviaci\u00f3n significativa”, en la que los mensajes de phishing incitaron a los destinatarios a hacer clic en una URL que redirig\u00eda a una p\u00e1gina de recolecci\u00f3n de credenciales.<\/p>\n La explosi\u00f3n de correos electr\u00f3nicos apunt\u00f3 a varias verticales adem\u00e1s del sector financiero, incluida la educaci\u00f3n, el gobierno y la atenci\u00f3n m\u00e9dica, en los EE. UU. y Canad\u00e1.<\/p>\n Dejando a un lado la experimentaci\u00f3n, tambi\u00e9n se ha observado que TA444 expande la funcionalidad de CageyChameleon (tambi\u00e9n conocido como CabbageRAT) para ayudar a\u00fan m\u00e1s en la creaci\u00f3n de perfiles de v\u00edctimas, al tiempo que mantiene una amplia arsenal<\/a> de herramientas post-explotaci\u00f3n para facilitar el robo.<\/p>\n “En 2022, TA444 se enfoc\u00f3 en las criptomonedas a un nuevo nivel y comenz\u00f3 a imitar el ecosistema del crimen cibern\u00e9tico al probar una variedad de cadenas de infecci\u00f3n para ayudar a expandir sus flujos de ingresos”, dijo Proofpoint.<\/p>\n Los hallazgos se producen cuando la Oficina Federal de Investigaciones (FBI) de EE. UU. Acus\u00f3 a los actores de BlueNoroff de llevar a cabo el robo de USD 100 millones en criptomonedas robadas del puente Harmony Horizon en junio de 2022.<\/p>\n “Con una mentalidad de startup y una pasi\u00f3n por las criptomonedas, TA444 encabeza la generaci\u00f3n de flujo de efectivo de Corea del Norte para el r\u00e9gimen al traer fondos lavables”, dijo Greg Lesnewich de Proofpoint. “Este actor de amenazas idea r\u00e1pidamente nuevos m\u00e9todos de ataque mientras adopta las redes sociales como parte de su [modus operandi].”<\/p>\n El grupo “sigue comprometido en sus esfuerzos por utilizar la criptomoneda como veh\u00edculo para proporcionar fondos utilizables al r\u00e9gimen”, agreg\u00f3 la compa\u00f1\u00eda.<\/p>\n <\/p>\n