Siber suç , Hizmet olarak siber suç , Siber savaş / Ulus-Devlet Saldırıları
Proofpoint Araştırmacılarına Göre TA444 Uyarlanabilir ve Çalışkandır
Bay Mihir (MihirBagwe) •
25 Ocak 2023
ABD ve Kanadalı finans çalışanlarının kimlik bilgilerini toplamak amacıyla geçen Aralık ayında ortaya çıkan bir spam sel, Kuzey Koreli bir kar amacı gütmeyen bilgisayar korsanlığı grubunun gelir akışını çeşitlendirme girişimiydi.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
Proofpoint’teki araştırmacılar, o ay TA444 olarak izledikleri grubun, önceki 11 ayda gönderilen toplam spam hacmini neredeyse iki katına çıkardığını söylüyor – bu, “dolara ve eziyete olan bağlılığıyla başlangıç kültürünü” yansıtan bir bilgisayar korsanlığı grubunun kanıtı.
TA444, APT38, Bluenoroff, BlackAlicanto, Stardust Chollima ve Copernicium grubu olarak bilinen diğer Pyongyang hack gruplarıyla örtüşüyor.
Kuzey Kore, devlet destekli bilgisayar korsanlarının ülkelerinin mali kazancı için saldırdığı ender ülkedir. Salı günü, ABD FBI, Horizon kripto para biriminden Kuzey Koreli bilgisayar korsanlarına 100 milyon dolarlık bir hırsızlığı bağladı.
2019’da Birleşmiş Milletler, kripto para birimi ve çevrimiçi banka soygunlarının Pyongyang’ın nükleer silahlar ve kıtalararası balistik füzeler geliştirmesine 2 milyar dolar yatırım yapmasını sağladığını tahmin etti (bkz:: Kuzey Kore Hacking Fonları KİS Programları, BM Raporu Uyarıyor).
Kanıt noktası, TA444’ün aktivite patlamasının ek iş kanıtı olma olasılığını göz ardı edemeyeceğini söylüyor. Durum buysa, güvenlik araştırmacıları, araç ve altyapının yeniden kullanımına dair kanıtların yanı sıra “büyük kripto para birimi ve finansal kurumlardan hedef almanın sürekli sapmasını” tespit etmeye başlamalıdır.
Proofpoint’te kıdemli tehdit araştırmacısı olan Greg Lesnewich, TA444’ün ürünleri anında test etme becerisi gösterdiğini söylüyor.
Tehdit aktörü, ilk erişim için kimlik avı e-postalarını kullanır. Genellikle kripto para blok zincirlerinin analizini, prestijli firmalardaki iş fırsatlarını ve hatta maaş ayarlamalarını içeren iyi hazırlanmış cazibeli içeriğe sahip olduğunu söylüyor.
Kimlik avı e-postaları, iki dosya biçiminde mevcut olan yükleri teslim eder – gizlenmiş bir LNK dosyası ve uzak şablonlar kullanan belgelerle başlayan bir zincir. TA444 her iki yöntemi de kullanmaya devam ediyor, ancak artık MSI Yükleyici dosyaları, sanal sabit sürücü, Windows Web İşaretini atlamak için ISO ve derlenmiş HTML gibi diğer dosya türlerini de kullanıyor.
Tehdit aktörü, isabet oranını artırmak amacıyla kötü amaçlı bağlantılar göndermeden önce kurbanlarla etkileşim kurmak için LinkedIn gibi sosyal ağ platformlarını da kullanıyor. TA444, İngilizce, İspanyolca, Lehçe ve Japonca’yı anladığını göstermiştir.
Kripto para birimini çalmak, tehdit aktörünün birincil nedenidir, ancak güvenlik araştırmacıları ayrıca, istismar sonrası “etkileyici bir dizi arka kapı” gözlemlediler.
Araştırmacılar, 2021’de yaklaşık 400 milyon dolar değerinde kripto para birimi ve dijital varlık çaldığı ve bu değeri tek bir soygunda kolayca aşarak 2022’yi 1 milyar dolardan fazla kapattığı için TA444’ü “yetenekli bir düşman” olarak adlandırıyor.