Siber suç , Hizmet olarak siber suç , Siber savaş / Ulus-Devlet Saldırıları
TA444 Uyarlanabilir ve Çalışkandır Proofpoint Araştırmacılarına Göre
Bay Mihir (MihirBagwe) •
25 Ocak 2023
ABD ve Kanadalı finans çalışanlarının kimlik bilgilerini toplamak amacıyla geçen Aralık ayında ortaya çıkan bir spam sel, Kuzey Koreli bir kar amacı gütmeyen bilgisayar korsanlığı grubunun gelir akışını çeşitlendirme girişimiydi.
Proofpoint’teki araştırmacılar TA444 olarak izledikleri grubun o ay önceki 11 ayda gönderilen toplam spam hacmini neredeyse iki katına çıkardığını söylüyorlar – bu, “dolara ve eziyete bağlılığıyla başlangıç kültürünü” yansıtan bir bilgisayar korsanlığı grubunun kanıtı.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
TA444, APT38, Bluenoroff, BlackAlicanto, Stardust Chollima ve Copernicium grubu olarak bilinen diğer Pyongyang hack gruplarıyla örtüşüyor.
Kuzey Kore, devlet destekli bilgisayar korsanlarının ülkelerinin mali kazancı için saldırdığı ender ülkedir. Salı günü, ABD FBI, Horizon kripto para biriminden Kuzey Koreli bilgisayar korsanlarına 100 milyon dolarlık bir hırsızlığı bağladı.
2019’da Birleşmiş Milletler, kripto para birimi ve çevrimiçi banka soygunlarının Pyongyang’ın nükleer silahlar ve kıtalararası balistik füzeler geliştirmesine 2 milyar dolar yatırım yapmasını sağladığını tahmin etti (bkz:: Kuzey Kore Hacking Fonları KİS Programları, BM Raporu Uyarıyor).
Kanıt noktası, TA444’ün aktivite patlamasının ek iş kanıtı olma olasılığını göz ardı edemeyeceğini söylüyor. Durum buysa, güvenlik araştırmaları, araç ve altyapının yeniden kullanımının yanı sıra “büyük kripto para birimi ve finansal kurumlardan hedef almanın sürekli olarak saptığını” görme kanıtlarını tespit etmeye başlamalıdır.
Proofpoint’te kıdemli tehdit araştırmacısı olan Greg Lesnewich, TA444’ün ürünleri anında test etme yeteneğini gösterdiğini söyledi.
Tehdit aktörü, ilk erişim için genellikle kripto para blok zincirlerinin analizini, prestijli firmalardaki iş fırsatlarını ve hatta maaş ayarlamalarını içeren iyi hazırlanmış sahte içerikle gönderilen kimlik avı postalarını kullanır.
Kimlik avı e-postaları, iki dosya biçiminde mevcut olan yükleri teslim eder – gizlenmiş bir LNK dosyası ve uzak şablonlar kullanan belgelerle başlayan bir zincir. TA444 her iki yöntemi de kullanmaya devam ediyor ancak artık MSI Installer dosyaları, sanal sabit sürücü, Windows Web İşaretini atlamak için ISO ve derlenmiş HTML gibi diğer dosya türlerini de kullanıyor.
Tehdit aktörü, isabet oranını artırmak amacıyla kötü amaçlı bağlantılar göndermeden önce kurbanlarla etkileşim kurmak için LinkedIn gibi sosyal ağ platformlarını da kullanıyor. Aktör, kanıtlanmış bir İngilizce, İspanyolca, Lehçe ve Japonca anlayışına sahiptir.
Kripto para birimini çalmak, tehdit aktörünün birincil nedenidir, ancak güvenlik araştırmacıları ayrıca, istismar sonrası “etkileyici bir dizi arka kapı” gözlemlediler.
Araştırmacılar, 2021’de yaklaşık 400 milyon dolar değerinde kripto para birimi ve dijital varlık çaldığı ve geçen yılı 1 milyar dolardan fazla kapatarak tek bir soygunda bu değeri kolayca aştığı için TA444’ü “yetenekli bir düşman” olarak adlandırıyor.