Το κορυφαίο APT της Βόρειας Κορέας εξαπάτησε 1 δις $ από επενδυτές κρυπτογράφησης το 2022

Η βιομηχανία του blockchain αιμορραγούσε χρήματα πέρυσι, με την παγκόσμια αγορά κρυπτονομισμάτων να πέφτει κατακόρυφα κατά 63%. Αλλά οι επενδυτές δεν έχασαν χρήματα μόνο από μισοψημένα νομίσματα και υπερδιαφημισμένα NFT.

Σε αναφέρουν που δημοσιεύθηκαν σήμερα, ερευνητές από το Proofpoint εξέθεσαν πώς οι βορειοκορεάτες υποστηριζόμενοι από το κράτος χάκερ κατάφεραν να αποσπάσουν περισσότερα από 1 δισεκατομμύριο δολάρια σε κρυπτονομίσματα και άλλα περιουσιακά στοιχεία blockchain το ημερολογιακό έτος 2022 (ακόμη πιο εντυπωσιακό αν ληφθεί υπόψη πόσο καταθλιπτικά αυτά τα περιουσιακά στοιχεία έγινε).

Η Proofpoint απέδωσε την επιτυχία της ομάδας TA444 και των σχετικών συμπλεγμάτων —που αναφέρονται ποικιλοτρόπως ως APT38, Bluenoroff, BlackAlicanto, Stardust Chollima και Copernicium— στην προσέγγισή τους που μοιάζει με την εκκίνηση.

Τα διακριτικά, είπαν οι ερευνητές, περιλαμβάνουν «ταχεία επανάληψη, δοκιμή προϊόντων εν κινήσει και αποτυχία προς τα εμπρός». Η ομάδα πειραματίζεται τακτικά με νέες μεθόδους εισβολής και έχει περάσει από διαφορετικά και καλύτερα κακόβουλα προγράμματα τα τελευταία χρόνια.

«Αν και δεν γνωρίζουμε αν η ομάδα έχει τραπέζια πινγκ πονγκ ή βαρέλια με κάποια υπερεκτιμημένη IPA στον χώρο εργασίας της», έγραψαν οι συγγραφείς, «το TA444 αντικατοπτρίζει την κουλτούρα των startup στην αφοσίωσή του στο δολάριο και στο άλεσμα».

Η εξελισσόμενη απειλή του TA444

Στο TA444 υπάρχει ένα στοιχείο του "κινήστε γρήγορα και σπάστε τα πράγματα".

Τα τελευταία χρόνια, η ομάδα έχει επαναλάβει τις τακτικές κοινωνικής μηχανικής της πολλές φορές. Μερικές φορές έστελνε ιδιωτικά μηνύματα από παραβιασμένους λογαριασμούς στο LinkedIn εκπροσώπων νόμιμων εταιρειών, άλλες φορές έκανε κατάχρηση εργαλείων μάρκετινγκ ηλεκτρονικού ταχυδρομείου για να παρακάμψει τα φίλτρα ανεπιθύμητης αλληλογραφίας. Έχει ασχοληθεί με θύματα στα αγγλικά, αλλά και στα ιαπωνικά, πολωνικά και ισπανικά.

Σε μια περίεργη περίπτωση, έστειλε email σε οργανισμούς σε όλους τους τομείς της υγειονομικής περίθαλψης, της εκπαίδευσης, των οικονομικών και της κυβέρνησης των Η.Π.Α., χρησιμοποιώντας απροσδόκητα, γεμάτα τυπογραφικά δολώματα phishing. Στην καλύτερη περίπτωση, τα θέλγητρά τους έκαναν αναφορά σε συγκεκριμένες επωνυμίες στον κλάδο, υποσχόμενοι μερικές φορές αυξήσεις μισθών ή ευκαιρίες εργασίας, αλλά οι προσπάθειες εδώ ήταν κυρίως υποτυπώδεις.

Όπου άλλες ομάδες εγκλήματος στον κυβερνοχώρο μπορεί να επικεντρωθούν στην τελειοποίηση των κοινωνικών δολωμάτων και των μηχανισμών παράδοσης, οι ερευνητές εξήγησαν ότι η δημιουργία κακόβουλου λογισμικού είναι όπου το TA444 διακρίνεται πραγματικά.

Η συλλογή τους από backdoors μετά την εκμετάλλευση περιλαμβάνει τον κλέφτη διαπιστευτηρίων msoRAT, το πλαίσιο ξεπλύματος βρώμικου χρήματος SWIFT DYEPACK, και διάφορες παθητικές κερκόπορτες και εικονικούς «ακροατές» για λήψη και επεξεργασία δεδομένων από μηχανές-στόχους.

"Αυτό υποδηλώνει ότι υπάρχει ένα ενσωματωμένο, ή τουλάχιστον ένα αφιερωμένο, στοιχείο ανάπτυξης κακόβουλου λογισμικού δίπλα στους χειριστές TA444", σύμφωνα με την έκθεση.

Βόρεια Κορέα: The OG Crypto Bro

Για να συμπληρώσει την κακή διοίκηση της οικονομίας της, η κυβέρνηση της Βόρειας Κορέας χρησιμοποιεί εδώ και καιρό χάκερ για συγκέντρωση χρημάτων, στοχεύοντας οπουδήποτε βρεθεί μια οικονομική ευκαιρία. Αυτό περιλαμβάνει τα πάντα από λιανοπωλητές στις Ηνωμένες Πολιτείες προς την το τραπεζικό σύστημα SWIFTκαι, σε μια περιβόητη περίπτωση, ολόκληρο τον κόσμο.

Επειδή οι εταιρείες κρυπτονομισμάτων προσφέρουν λίγες διασφαλίσεις κατά της κλοπής, οι συναλλαγές είναι γενικά μη αναστρέψιμες και τα μέρη σε αυτές τις συναλλαγές είναι δύσκολο να εντοπιστούν, ο κλάδος είναι γεμάτος με οικονομικά κίνητρα εγκλήματος στον κυβερνοχώρο. Η Βόρεια Κορέα έχει βυθιστεί σε αυτό το πηγάδι χρόνια, με εκστρατείες κατά των startups, botnet που εξορύσσουν νομίσματα, να εκστρατείες ransomware που ζητούν πληρωμές κρυπτογράφησης.

Πέρυσι, όμως, το μέγεθος της κλοπής έφτασε σε νέο επίπεδο. Η εταιρεία ερευνών blockchain Chainalysis εκτίμησε ότι η χώρα έκλεψε σχεδόν $ 400 εκατομμύρια δολάρια σε περιουσιακά στοιχεία κρυπτονομισμάτων και blockchain το 2021. Το 2022, ξεπέρασαν αυτόν τον αριθμό με μία μόνο επίθεση — εναντίον μιας εταιρείας τυχερών παιχνιδιών blockchain που ονομάζεται SkyMavis — που εκτιμάται ότι αξίζει περισσότερο $ 600 εκατομμύρια την εποχή εκείνη. Προσθέστε άλλες επιθέσεις καθ' όλη τη διάρκεια του ημερολογιακού έτους και η συνολική τους απόσταση θα φτάσει Αριθμοί 10.

«Αν και μπορούμε να κοροϊδεύουμε τις ευρείες εκστρατείες και την ευκολία της ομαδοποίησης», προειδοποίησαν οι ερευνητές, «το TA444 είναι ένας οξυδερκής και ικανός αντίπαλος».

Η αναφορά της Proofpoint σημείωσε ότι η παρακολούθηση για την εκτέλεση MSHTA, VBS, Powershell και άλλης γλώσσας δέσμης ενεργειών από νέες διεργασίες ή αρχεία μπορεί να βοηθήσει στον εντοπισμό δραστηριότητας TA444. Συνιστούσε επίσης τη χρήση βέλτιστων πρακτικών για μια προσέγγιση σε βάθος άμυνας για την καταπολέμηση των εισβολών TA444: Χρήση εργαλείων παρακολούθησης ασφάλειας δικτύου, χρήση ισχυρών πρακτικών καταγραφής, μια καλή λύση τερματικού σημείου και μια συσκευή παρακολούθησης email, εκτός από την εκπαίδευση του εργατικού δυναμικού να γνωρίζει δραστηριότητας ληστείας που προέρχεται από επαφή στο WhatsApp ή στο LinkedIn. 

«Επιπλέον, δεδομένης της δραστηριότητας της καμπάνιας ηλεκτρονικού ψαρέματος διαπιστευτηρίων που παρατηρήσαμε, η ενεργοποίηση του ελέγχου ταυτότητας MFA σε όλες τις εξωτερικά προσβάσιμες υπηρεσίες θα βοηθούσε στον περιορισμό του αντίκτυπου των διαπιστευτηρίων που τελικά κλαπούν», δήλωσαν οι ερευνητές μέσω email.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/remote-workforce/north-korea-apt-swindled-1b-crypto-investors-2022