Blockchain endüstrisi geçen yıl para kaybetti ve küresel kripto para piyasası %63 düştü. Ancak yatırımcılar sadece yarı pişmiş madeni paralara ve abartılı NFT’lere para kaybetmediler.
Bugün yayınlanan bir raporda, Proofpoint araştırmacıları, Kuzey Kore devlet destekli bilgisayar korsanlarının 2022 takvim yılında kripto para birimleri ve diğer blok zincir varlıklarında 1 milyar dolardan fazla parayı nasıl sömürdüklerini ayrıntılarıyla açıkladılar (bu varlıkların ne kadar depresyona girdiği düşünüldüğünde hepsi daha etkileyici).
Kanıt noktası, TA444 grubunun ve çeşitli şekillerde APT38, Bluenoroff, BlackAlicanto, Stardust Chollima ve Copernicium olarak anılan ilgili kümelerin başarısını startup benzeri yaklaşımlarına bağladı.
Araştırmacılar, ayırt edici özelliklerin “hızlı yineleme, ürünleri anında test etme ve ileriye dönük başarısızlığı” içerdiğini söyledi. Grup, düzenli olarak yeni izinsiz giriş yöntemleri deniyor ve son yıllarda farklı ve daha iyi kötü amaçlı yazılımlar arasında geçiş yaptı.
Yazarlar, “Grubun çalışma alanında masa tenisi masaları veya bazı abartılı IPA fıçıları olup olmadığını bilmesek de,” diye yazdı, “TA444, dolara ve eziyete olan bağlılığıyla başlangıç kültürünü yansıtıyor.”
TA444’ün Gelişen Tehdidi
TA444’te “hızlı hareket et ve bir şeyleri kır” unsuru var.
Son yıllarda, grup sosyal mühendislik taktiklerini defalarca yineledi. Bazen meşru şirketlerin temsilcilerinin ele geçirilmiş LinkedIn hesaplarından özel mesajlar gönderdi, diğer zamanlarda spam filtrelerini atlatmak için e-posta pazarlama araçlarını kötüye kullandı. Mağdurlarla İngilizce, ayrıca Japonca, Lehçe ve İspanyolca konuşmuştur.
Tuhaf bir durumda, ABD sağlık, eğitim, finans ve devlet sektörlerindeki kuruluşlara, tam metin, yazım hatasıyla yüklü kimlik avı tuzakları kullanarak e-posta yağmuruna tuttu. En iyi ihtimalle, cazibeleri sektördeki belirli marka isimlerine atıfta bulunuyordu, bazen maaş artışları veya iş fırsatları vaat ediyordu, ancak buradaki çabalar çoğunlukla ilkeldi.
Araştırmacılar, diğer siber suç gruplarının sosyal cazibeleri ve dağıtım mekanizmalarını mükemmelleştirmeye odaklanabileceği yerlerde, kötü amaçlı yazılım oluşturmanın TA444’ün kendisini gerçekten farklılaştırdığı nokta olduğunu açıkladı.
Sömürü sonrası arka kapı koleksiyonları arasında msoRAT kimlik bilgisi hırsızı, SWIFT kara para aklama çerçevesi DYEPACK ve çeşitli pasif arka kapılar ve hedef makinelerden veri almak ve bunları işlemek için sanal “dinleyiciler” yer alıyor.
Rapora göre “Bu, TA444 operatörlerinin yanı sıra gömülü veya en azından özel bir kötü amaçlı yazılım geliştirme öğesi olduğunu gösteriyor.”
Kuzey Kore: OG Crypto Bro
Kuzey Kore hükümeti, beceriksiz komuta ekonomisini desteklemek için uzun süredir bilgisayar korsanlarını para toplamak için kullandı ve finansal bir fırsatın olduğu her yeri hedef aldı. Bu, Amerika Birleşik Devletleri’ndeki perakendecilerden SWIFT bankacılık sistemine ve kötü şöhretli bir durumda tüm dünyaya kadar her şeyi içerir.
Kripto para şirketleri hırsızlığa karşı çok az koruma sunduğundan, işlemler genellikle geri alınamaz olduğundan ve bu işlemlerin taraflarını belirlemek zor olduğundan, sektör mali amaçlı siber suçlarla doludur. Kuzey Kore, yeni şirketlere karşı kampanyalar, madeni para madenciliği yapan botnet’ler ve kripto ödemelerini talep eden fidye yazılım kampanyaları ile yıllardır bu kuyuya dalıyor.
Ancak geçen yıl hırsızlığın ölçeği yeni bir düzeye ulaştı. Blockchain araştırma şirketi Chainalysis, ülkenin 2021’de yaklaşık 400 milyon dolarlık kripto para birimi ve blockchain varlığı çaldığını değerlendirdi. zaman. Takvim yılı boyunca diğer saldırıları ekleyin ve toplam mesafeleri 10 rakama ulaşır.
Araştırmacılar, “Geniş kampanyaları ve kümelenme kolaylığıyla dalga geçsek de,” diye uyardı, “TA444 zeki ve yetenekli bir düşman.”
Proofpoint’in raporu, yeni işlemlerden veya dosyalardan MSHTA, VBS, Powershell ve diğer komut dosyası dili yürütmesinin izlenmesinin TA444 etkinliğinin algılanmasına yardımcı olabileceğini belirtti. Ayrıca, TA444 izinsiz girişleriyle mücadele etmek için derinlemesine bir savunma yaklaşımı için en iyi uygulamaların kullanılmasını tavsiye etti: Ağ güvenliği izleme araçlarının kullanılması, sağlam günlük tutma uygulamalarının kullanılması, iyi bir uç nokta çözümü ve bir e-posta izleme cihazının yanı sıra, işgücünün farkında olması için eğitilmesi WhatsApp veya LinkedIn’deki iletişimden kaynaklanan soygun etkinliği.
Araştırmacılar, “Ayrıca, gözlemlediğimiz kimlik bilgileri kimlik avı kampanyası etkinliği göz önüne alındığında, dışarıdan erişilebilen tüm hizmetlerde MFA kimlik doğrulamasının etkinleştirilmesi, kimlik bilgilerinin sonunda çalınan etkisinin sınırlandırılmasına yardımcı olacaktır” dedi.