Kripto soygunlarıyla ünlü bir Kuzey Kore ulus-devlet grubu, bir dizi sektör dikeyini hedef alan “yayılan” bir kimlik bilgisi toplama faaliyetinin bir parçası olarak yeni bir kötü niyetli e-posta saldırısı dalgasına atfedildi ve stratejisinde önemli bir değişime işaret etti.
Durumla uyumlu tehdit aktörü, Proofpoint tarafından şu adla izleniyor: TA444ve APT38, BlueNoroff, Copernicium ve Stardust Chollima gibi daha büyük siber güvenlik topluluğu tarafından.
Kurumsal güvenlik firması The Hacker News ile paylaştığı bir raporda, TA444’ün “blok zinciriyle ilgili cazibelerin yanı sıra daha geniş bir dağıtım yöntemi ve yükü, prestijli firmalarda sahte iş fırsatları ve kurbanları tuzağa düşürmek için maaş ayarlamaları kullandığını” söyledi.
Gelişmiş kalıcı tehdit, operasyonlarının finansal olarak motive edilmesi ve Hermit Krallığı için yasadışı gelir elde etmeye yönelik olması nedeniyle, devlet destekli gruplar arasında bir tür anormalliktir.
Bu amaçla saldırılar, tipik olarak kurbanın ilgi alanlarına göre uyarlanmış, enfeksiyon zincirini tetiklemek için LNK dosyaları ve ISO optik disk görüntüleri gibi kötü amaçlı yazılım ekleriyle dolu kimlik avı e-postaları kullanır.
Diğer taktikler arasında, bubi tuzaklı bağlantılar göndermeden önce hedeflere yaklaşmak ve onlarla etkileşim kurmak için meşru şirket yöneticilerine ait güvenliği ihlal edilmiş LinkedIn hesaplarının kullanılması yer alır.
Bununla birlikte, Aralık 2022’nin başlarındaki daha yeni kampanyalar, “önemli bir sapmaya” tanık oldu; burada kimlik avı mesajları, alıcıları bir kimlik bilgileri toplama sayfasına yönlendiren bir URL’yi tıklamaya sevk etti.
E-posta patlaması, ABD ve Kanada’da finans sektörünün yanı sıra eğitim, hükümet ve sağlık hizmetleri dahil olmak üzere çeşitli sektörleri hedef aldı.
Deney bir yana, TA444’ün CageyChameleon’un (aka CabbageRAT) işlevselliğini kurban profili çıkarmaya daha fazla yardımcı olacak şekilde genişlettiği ve aynı zamanda hırsızlığı kolaylaştırmak için geniş bir sömürü sonrası araç cephaneliğini sürdürdüğü gözlemlendi.
Proofpoint, “2022’de TA444, kripto para birimlerine odaklanmasını yeni bir düzeye taşıdı ve gelir akışlarını genişletmeye yardımcı olmak için çeşitli enfeksiyon zincirlerini test ederek siber suç ekosistemini taklit etmeye başladı.” dedi.
Bulgular, ABD Federal Soruşturma Bürosu’nun (FBI) BlueNoroff aktörlerini Haziran 2022’de Harmony Horizon Bridge’den çalınan 100 milyon dolarlık kripto para hırsızlığını gerçekleştirmekle suçlamasıyla geldi.
Proofpoint’ten Greg Lesnewich, “Bir başlangıç zihniyeti ve kripto para birimi tutkusu ile TA444, aklanabilir fonlar getirerek Kuzey Kore’nin rejim için nakit akışı oluşturmasına öncülük ediyor” dedi. “Bu tehdit aktörü, sosyal medyayı işlerinin bir parçası olarak benimserken hızla yeni saldırı yöntemleri düşünüyor. [modus operandi].”
Grup, “rejime kullanılabilir fonlar sağlamak için kripto para birimini bir araç olarak kullanma çabalarına devam ediyor” diye ekledi.