Ngày 25 tháng 1 năm 2023Ravie Lakshmanan Tiền điện tử / phần mềm độc hại
Một nhóm nhà nước quốc gia Bắc Triều Tiên nổi tiếng với những vụ trộm tiền điện tử đã được quy cho một làn sóng tấn công email độc hại mới như một phần của hoạt động thu thập thông tin xác thực “mở rộng” nhắm vào một số ngành dọc, đánh dấu một sự thay đổi đáng kể trong chiến lược của nó.
Tác nhân đe dọa liên kết với trạng thái đang bị Proofpoint theo dõi dưới tên TA444và bởi cộng đồng an ninh mạng lớn hơn như APT38, BlueNoroff, Copernicium và Stardust Chollima.
TA444 đang “sử dụng nhiều phương thức phân phối và tải trọng hơn cùng với các chiêu dụ liên quan đến blockchain, cơ hội việc làm giả tại các công ty uy tín và điều chỉnh lương cho các nạn nhân mắc bẫy”, công ty bảo mật doanh nghiệp cho biết trong một báo cáo được chia sẻ với The Hacker News.
Mối đe dọa liên tục nâng cao là một điều gì đó khác thường giữa các nhóm được nhà nước tài trợ ở chỗ hoạt động của nó được thúc đẩy về mặt tài chính và hướng tới việc tạo ra doanh thu bất hợp pháp cho Vương quốc Hermit.
Cuối cùng, các cuộc tấn công sử dụng các email lừa đảo, thường được điều chỉnh theo sở thích của nạn nhân, chứa đầy các tệp đính kèm chứa phần mềm độc hại như tệp LNK và ảnh đĩa quang ISO để kích hoạt chuỗi lây nhiễm.
Trong số các chiến thuật khác bao gồm việc sử dụng các tài khoản LinkedIn bị xâm phạm thuộc về các giám đốc điều hành của công ty hợp pháp để tiếp cận và tương tác với các mục tiêu trước khi cung cấp các liên kết bị bẫy.
Tuy nhiên, các chiến dịch gần đây hơn vào đầu tháng 12 năm 2022 đã chứng kiến ”sự sai lệch đáng kể”, trong đó các thông báo lừa đảo khiến người nhận nhấp vào một URL được chuyển hướng đến trang thu thập thông tin xác thực.
Vụ nổ email nhắm mục tiêu vào một số ngành dọc bên cạnh lĩnh vực tài chính, bao gồm giáo dục, chính phủ và chăm sóc sức khỏe, ở Hoa Kỳ và Canada.
Bỏ qua thử nghiệm, TA444 cũng đã được quan sát thấy đang mở rộng chức năng của CageyChameleon (hay còn gọi là CabbageRAT) để hỗ trợ thêm cho việc lập hồ sơ nạn nhân, đồng thời duy trì một kho công cụ rộng lớn sau khai thác để tạo điều kiện thuận lợi cho hành vi trộm cắp.
“Vào năm 2022, TA444 đã tập trung vào tiền điện tử lên một tầm cao mới và đã bắt chước hệ sinh thái tội phạm mạng bằng cách thử nghiệm nhiều chuỗi lây nhiễm để giúp mở rộng nguồn doanh thu của mình,” Proofpoint cho biết.
Phát hiện này được đưa ra khi Cục Điều tra Liên bang Hoa Kỳ (FBI) cáo buộc các tác nhân của BlueNoroff thực hiện hành vi trộm cắp 100 triệu đô la tiền điện tử bị đánh cắp từ Cầu Harmony Horizon vào tháng 6 năm 2022.
Greg Lesnewich của Proofpoint cho biết: “Với tinh thần khởi nghiệp và niềm đam mê với tiền điện tử, TA444 dẫn đầu việc tạo ra dòng tiền của Triều Tiên cho chế độ bằng cách mang lại các khoản tiền có thể rửa được”. “Tác nhân đe dọa này nhanh chóng nghĩ ra các phương pháp tấn công mới trong khi sử dụng phương tiện truyền thông xã hội như một phần của chúng. [modus operandi].”
Công ty cho biết thêm: “Nhóm vẫn tham gia vào nỗ lực sử dụng tiền điện tử như một phương tiện để cung cấp tiền có thể sử dụng được cho chế độ”.
