Nordkoreas Top-APT hat 1 2022 Milliarde Dollar von Krypto-Investoren erschwindelt

Die Blockchain-Industrie hat im vergangenen Jahr Geld verloren, wobei der globale Markt für Kryptowährungen um 63 % einbrach. Aber die Anleger haben nicht nur Geld durch unausgereifte Coins und überhypte NFTs verloren.

In einer berichten Heute veröffentlichten Forscher von Proofpoint detailliert, wie es staatlich unterstützten nordkoreanischen Hackern gelungen ist, im Kalenderjahr 1 mehr als 2022 Milliarde Dollar an Kryptowährungen und anderen Blockchain-Vermögenswerten abzuschöpfen (umso beeindruckender, wenn man bedenkt wie deprimiert diese Vermögenswerte geworden war).

Proofpoint führte den Erfolg der TA444-Gruppe und verwandter Cluster – unterschiedlich bezeichnet als APT38, Bluenoroff, BlackAlicanto, Stardust Chollima und Copernicium – auf ihren Startup-ähnlichen Ansatz zurück.

Zu den Markenzeichen, so die Forscher, gehören „schnelle Iteration, schnelles Testen von Produkten und Scheitern nach vorne“. Die Gruppe experimentiert regelmäßig mit neuen Eindringmethoden und hat in den letzten Jahren verschiedene und bessere Malware getestet.

„Obwohl wir nicht wissen, ob die Gruppe Tischtennisplatten oder Fässer mit überbewertetem IPA in ihrem Arbeitsbereich hat“, schrieben die Autoren, „spiegelt TA444 die Startup-Kultur in ihrer Hingabe an den Dollar und den Grind wider.“

Die sich entwickelnde Bedrohung von TA444

Es gibt ein Element von „bewege dich schnell und zerstöre Dinge“ in TA444.

In den letzten Jahren hat die Gruppe ihre Social-Engineering-Taktiken viele Male wiederholt. Manchmal verschickte es private Nachrichten von gekaperten LinkedIn-Konten von Vertretern seriöser Unternehmen, manchmal missbrauchte es E-Mail-Marketing-Tools, um Spam-Filter zu umgehen. Es hat sich mit Opfern auf Englisch, aber auch auf Japanisch, Polnisch und Spanisch befasst.

In einem seltsamen Fall wurden Organisationen im US-Gesundheitswesen, im Bildungswesen, im Finanzwesen und in der Regierung per E-Mail bombardiert, wobei Barebones und mit Tippfehlern beladene Phishing-Köder verwendet wurden. Ihre Köder verwiesen bestenfalls auf bestimmte Markennamen in der Branche und versprachen manchmal Gehaltserhöhungen oder Stellenangebote, aber die Bemühungen hier waren hauptsächlich rudimentär.

Während sich andere Gruppen der Cyberkriminalität auf die Perfektionierung sozialer Köder und Bereitstellungsmechanismen konzentrieren, erklärten die Forscher, dass sich die Malware-Erstellung durch TA444 wirklich auszeichnet.

Ihre Sammlung von Post-Exploitation-Backdoors umfasst den msoRAT-Credential-Stealer, das SWIFT-Geldwäsche-Framework FARBPACKUNG, und verschiedene passive Hintertüren und virtuelle „Zuhörer“ zum Empfangen und Verarbeiten von Daten von Zielcomputern.

„Dies deutet darauf hin, dass es neben den TA444-Betreibern ein eingebettetes oder zumindest ein dediziertes Malware-Entwicklungselement gibt“, heißt es in dem Bericht.

Nordkorea: Die OG Crypto Bro

Um ihre ungeschickte Kommandowirtschaft zu ergänzen, setzt die nordkoreanische Regierung seit langem Hacker für das Sammeln von Geldern ein und zielt darauf ab, wo immer sich gerade eine finanzielle Gelegenheit bietet. Das schließt alles aus Einzelhändler in den Vereinigten Staaten zu das SWIFT-Bankensystem, und in einem berüchtigten Fall die ganze Welt.

Da Kryptowährungsunternehmen nur wenige Schutzmaßnahmen gegen Diebstahl bieten, Transaktionen im Allgemeinen irreversibel sind und die Parteien dieser Transaktionen schwer zu identifizieren sind, ist die Branche voll von finanziell motivierter Cyberkriminalität. Nordkorea taucht seit langem in diesen Brunnen ein Jahr, mit Kampagnen gegen Startups, Botnetze, die Coins schürfen und Ransomware-Kampagnen, die Kryptozahlungen erbitten.

Im vergangenen Jahr erreichte das Ausmaß des Diebstahls jedoch ein neues Niveau. Das Blockchain-Forschungsunternehmen Chainalysis schätzte ein, dass das Land beinahe geklaut hätte 400 Millionen Dollar in Kryptowährung und Blockchain-Vermögenswerten im Jahr 2021. Im Jahr 2022 übertrafen sie diese Zahl mit einem einzigen Angriff – gegen ein Blockchain-Gaming-Unternehmen namens SkyMavis –, dessen Wert auf mehr als geschätzt wurde 600 Mio. US$ damals. Fügen Sie während des Kalenderjahres weitere Angriffe hinzu, und ihre Gesamtreichweite 10-Zahlen.

„Während wir uns über seine breiten Kampagnen und die einfache Clusterbildung lustig machen können“, warnten die Forscher, „ist TA444 ein kluger und fähiger Gegner.“

Der Bericht von Proofpoint stellte fest, dass die Überwachung der Ausführung von MSHTA, VBS, Powershell und anderer Skriptsprachen von neuen Prozessen oder Dateien dazu beitragen kann, TA444-Aktivitäten zu erkennen. Es empfahl auch, Best Practices für einen Defense-in-Depth-Ansatz zur Bekämpfung von TA444-Angriffen zu verwenden: Verwendung von Überwachungstools für die Netzwerksicherheit, Verwendung robuster Protokollierungspraktiken, einer guten Endpoint-Lösung und einer E-Mail-Überwachungs-Appliance, zusätzlich zur Schulung der Mitarbeiter, um sich dessen bewusst zu sein von Raubüberfällen, die aus Kontakten auf WhatsApp oder LinkedIn stammen. 

„Angesichts der von uns beobachteten Phishing-Kampagnen für Anmeldeinformationen würde die Aktivierung der MFA-Authentifizierung für alle extern zugänglichen Dienste außerdem dazu beitragen, die Auswirkungen des Diebstahls von Anmeldeinformationen zu begrenzen“, sagten die Forscher per E-Mail.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
• Quelle: https://www.darkreading.com/remote-workforce/north-korea-apt-swindled-1b-crypto-investors-2022