Principal APT da Coreia do Norte roubou US$ 1 bilhão de investidores cripto em 2022

A indústria blockchain sofreu uma hemorragia de dinheiro no ano passado, com o mercado global de criptomoedas despencando 63%. Mas os investidores não perderam dinheiro apenas com moedas incompletas e NFTs exagerados.

Em um artigo do Denunciar publicado hoje, pesquisadores da Proofpoint detalharam como hackers apoiados pelo Estado norte-coreano conseguiram desviar mais de US$ 1 bilhão de dólares em criptomoedas e outros ativos de blockchain no ano civil de 2022 (ainda mais impressionante considerando quão deprimidos esses ativos se tornou).

A Proofpoint atribuiu o sucesso do grupo TA444 e clusters relacionados – também chamados de APT38, Bluenoroff, BlackAlicanto, Stardust Chollima e Copernicium – à sua abordagem semelhante a uma startup.

As características, disseram os pesquisadores, incluem “iteração rápida, teste de produtos em tempo real e falha no avanço”. O grupo experimenta regularmente novos métodos de intrusão e tem passado por malwares diferentes e melhores nos últimos anos.

“Embora não saibamos se o grupo tem mesas de pingue-pongue ou barris de alguma IPA superestimada em seu espaço de trabalho”, escreveram os autores, “o TA444 reflete a cultura das startups em sua devoção ao dólar e à rotina”.

Ameaça em evolução do TA444

Há um elemento de “agir rápido e quebrar coisas” no TA444.

Nos últimos anos, o grupo repetiu diversas vezes suas táticas de engenharia social. Às vezes, enviava mensagens privadas de contas sequestradas do LinkedIn de representantes de empresas legítimas; outras vezes, abusava de ferramentas de marketing por e-mail para contornar filtros de spam. Interagiu com as vítimas em inglês, mas também em japonês, polaco e espanhol.

Em um caso excêntrico, ele atacou por e-mail organizações dos setores de saúde, educação, finanças e governo dos EUA, usando iscas de phishing simples e repletas de erros de digitação. Na melhor das hipóteses, as suas iscas faziam referência a marcas específicas do setor, por vezes prometendo aumentos salariais ou oportunidades de emprego, mas os esforços aqui eram principalmente rudimentares.

Enquanto outros grupos de crimes cibernéticos podem se concentrar no aperfeiçoamento de iscas sociais e mecanismos de entrega, os pesquisadores explicaram que a criação de malware é onde o TA444 realmente se distingue.

Sua coleção de backdoors pós-exploração incluiu o ladrão de credenciais msoRAT, a estrutura de lavagem de dinheiro SWIFT PACOTE DE CORANTE, e vários backdoors passivos e “ouvintes” virtuais para receber e processar dados de máquinas de destino.

“Isso sugere que existe um elemento de desenvolvimento de malware incorporado, ou pelo menos dedicado, ao lado dos operadores TA444”, de acordo com o relatório.

Coreia do Norte: The OG Crypto Bro

Para complementar a sua desajeitada economia de comando, o governo da Coreia do Norte há muito que utiliza hackers para angariação de fundos, visando sempre que surja uma oportunidade financeira. Isso inclui tudo, desde varejistas nos Estados Unidos para o sistema bancário SWIFTe, em um caso notório, o mundo inteiro.

Como as empresas de criptomoeda oferecem poucas salvaguardas contra roubo, as transações são geralmente irreversíveis e as partes nessas transações são difíceis de identificar, o setor está repleto de crimes cibernéticos com motivação financeira. A Coreia do Norte tem mergulhado neste poço há anos, com campanhas contra startups, botnets que extraem moedas e campanhas de ransomware solicitando pagamentos criptografados.

No ano passado, porém, a escala do roubo atingiu um novo nível. A empresa de pesquisa Blockchain Chainalysis avaliou que o país roubou quase $ 400 milhões de dólares em ativos de criptomoeda e blockchain em 2021. Em 2022, eles ultrapassaram esse número com um único ataque – contra uma empresa de jogos blockchain chamada SkyMavis – estimado em mais de $ 600 milhões no momento. Acrescente outros ataques ao longo do ano civil e seu total atinge Figuras 10.

“Embora possamos zombar de suas campanhas amplas e da facilidade de agrupamento”, alertaram os pesquisadores, “o TA444 é um adversário astuto e capaz”.

O relatório da Proofpoint observou que o monitoramento de MSHTA, VBS, Powershell e outras execuções de linguagem de script a partir de novos processos ou arquivos pode ajudar a detectar a atividade do TA444. Também recomendou o uso de práticas recomendadas para uma abordagem de defesa profunda para combater invasões TA444: uso de ferramentas de monitoramento de segurança de rede, práticas robustas de registro, uma boa solução de endpoint e um dispositivo de monitoramento de e-mail, além de treinar a força de trabalho para estar ciente de atividade de roubo decorrente de contato no WhatsApp ou LinkedIn. 

“Além disso, dada a atividade de campanha de phishing de credenciais que observamos, permitir a autenticação MFA em todos os serviços acessíveis externamente ajudaria a limitar o impacto do roubo de credenciais”, disseram os pesquisadores por e-mail.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. Acesse aqui.
• Fonte: https://www.darkreading.com/remote-workforce/north-korea-apt-swindled-1b-crypto-investors-2022