Pohjois-Korean paras APT huijasi kryptosijoittajilta miljardi dollaria vuonna 1

Lohkoketjuteollisuus vei rahaa viime vuonna, kun kryptovaluuttojen globaalit markkinat putosivat 63 prosenttia. Sijoittajat eivät kuitenkaan menettäneet rahaa vain puolivalmisteisten kolikoiden ja liiallisten NFT-rahoitusten takia.

Jonkin sisällä raportti Tänään julkaistiin, Proofpointin tutkijat selvittivät, kuinka Pohjois-Korean valtion tukemat hakkerit onnistuivat hankkimaan yli miljardi dollaria kryptovaluuttoja ja muita blockchain-omaisuuksia kalenterivuonna 1 (sekin vaikuttavampi, kun otetaan huomioon kuinka masentuneita ne omaisuudet oli tullut).

Proofpoint katsoi TA444-ryhmän ja siihen liittyvien klustereiden – joita kutsutaan eri nimillä APT38, Bluenoroff, BlackAlicanto, Stardust Chollima ja Copernicium – menestyksen niiden käynnistysmäisen lähestymistavan ansioksi.

Tutkijoiden mukaan tunnusmerkkejä ovat "nopea iteraatio, tuotteiden testaus lennossa ja epäonnistuminen eteenpäin". Ryhmä kokeilee säännöllisesti uusia tunkeutumismenetelmiä ja on käynyt läpi erilaisia ​​ja parempia haittaohjelmia viime vuosina.

"Vaikka emme tiedä, onko ryhmällä pingispöytiä tai yliarvostetun IPA-tynnyreitä työtilassaan", kirjoittajat kirjoittivat, "TA444 heijastaa startup-kulttuuria omistautumisessaan dollarille ja jauhalle."

TA444:n kehittyvä uhka

TA444:ssä on elementti "siirrä nopeasti ja riko asioita".

Viime vuosina ryhmä on toistanut sosiaalisen suunnittelun taktiikkaansa monta kertaa. Joskus se lähetti yksityisiä viestejä laillisten yritysten edustajien kaapatuilta LinkedIn-tileiltä, ​​toisinaan se käytti väärin sähköpostimarkkinointityökaluja kiertääkseen roskapostisuodattimia. Se on ollut tekemisissä uhrien kanssa englanniksi, mutta myös japaniksi, puolaksi ja espanjaksi.

Yhdessä kummallisessa tapauksessa se räjäytti sähköpostilla organisaatioita kaikkialla Yhdysvaltain terveydenhuollon, koulutuksen, rahoituksen ja julkishallinnon sektoreilla käyttämällä bareboneja, kirjoitusvirheitä sisältäviä phishing-uistimia. Parhaimmillaan heidän vieheissään viitattiin tiettyihin alan tuotemerkkeihin, toisinaan lupaillen palkankorotuksia tai työmahdollisuuksia, mutta ponnistelut täällä olivat pääasiassa alkeellisia.

Kun muut kyberrikollisryhmät voivat keskittyä sosiaalisten vieheiden ja jakelumekanismien parantamiseen, tutkijat selittivät, että haittaohjelmien luominen on se, missä TA444 todella erottuu.

Heidän hyväksikäytön jälkeisten takaovien kokoelmaan on kuulunut msoRAT-tunnistevarastaja, SWIFT-rahanpesukehys. VÄRIPAKKAUS, ja erilaisia ​​passiivisia takaovia ja virtuaalisia "kuuntelijoita" tietojen vastaanottamiseen ja käsittelyyn kohdekoneista.

"Tämä viittaa siihen, että TA444-operaattoreiden rinnalla on sulautettu tai ainakin omistettu haittaohjelmien kehityselementti", raportin mukaan.

Pohjois-Korea: OG Crypto Bro

Täydentääkseen huonoa komentotaloutta Pohjois-Korean hallitus on jo pitkään käyttänyt hakkereita varainhankintaan ja kohdistanut kohteensa sinne, missä taloudellinen mahdollisuus sattuu olemaan. Se sisältää kaiken alkaen vähittäiskauppiaat Yhdysvalloissa että SWIFT-pankkijärjestelmä, ja yhdessä pahamaineisessa tapauksessa koko maailma.

Koska kryptovaluuttayhtiöt tarjoavat vain vähän suojakeinoja varkauksia vastaan, liiketoimet ovat yleensä peruuttamattomia ja näiden transaktioiden osapuolia on vaikea tunnistaa, ala on täynnä taloudellisesti motivoitunutta kyberrikollisuutta. Pohjois-Korea on sukeltanut tähän kaivoon jo pitkään vuotta, kanssa kampanjoita startuppeja vastaan, botnetit, jotka louhivat kolikoitaja ransomware-kampanjat, joissa pyydetään kryptomaksuja.

Viime vuonna varkauksien laajuus nousi kuitenkin uudelle tasolle. Blockchain-tutkimusyritys Chainalysis arvioi, että maa varasti melkein 400 miljoonaa dollaria kryptovaluutoissa ja lohkoketjuvaroissa vuonna 2021. Vuonna 2022 he ylittivät tämän luvun yhdellä hyökkäyksellä SkyMavis-nimistä lohkoketjupeliyhtiötä vastaan, jonka arvioitiin olevan yli arvoinen $ 600 euroa tällä hetkellä. Kun lisäät muita hyökkäyksiä kalenterivuoden aikana, saat niiden kokonaismäärän 10-luvuissa.

"Vaikka saatamme pilkata sen laajoista kampanjoista ja klusteroinnin helppoudesta", tutkijat varoittivat, "TA444 on älykäs ja taitava vastustaja."

Proofpointin raportissa todettiin, että MSHTA:n, VBS:n, Powershellin ja muiden uusien prosessien tai tiedostojen komentosarjakielen suorittamisen valvonta voi auttaa havaitsemaan TA444-toiminnan. Se suositteli myös parhaiden käytäntöjen käyttöä syvälliseen puolustukseen TA444-tunkeutumisen torjumiseksi: Verkkoturvallisuuden valvontatyökalujen käyttäminen, vahvojen lokikäytäntöjen, hyvän päätepisteratkaisun ja sähköpostin seurantalaitteen käyttäminen sen lisäksi, että työntekijöitä koulutetaan olemaan tietoisia ryöstötoiminnasta, joka johtuu yhteydenotosta WhatsAppissa tai LinkedInissä. 

"Lisäksi, kun otetaan huomioon havaitsemamme tunnistetietojen kalastelukampanja, MFA-todennuksen salliminen kaikissa ulkoisesti saatavilla olevissa palveluissa auttaisi rajoittamaan kirjautumistietojen lopulta varastamisen vaikutusta", tutkijat sanoivat sähköpostitse.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
• Lähde: https://www.darkreading.com/remote-workforce/north-korea-apt-swindled-1b-crypto-investors-2022