Ziemeļkorejas valsts grupējums, kas ir pazīstams ar kriptovalūtu zādzībām, uzsācis jaunu ļaunprātīgu e-pasta uzbrukumu vilni, kas ir daļa no plašākas akreditācijas datu vākšanas kampaņas, kuras mērķis ir vairākas uzņēmējdarbības vertikāles, tādējādi iezīmējot būtisku pavērsienu tā stratēģijā.
Proofpoint izseko ar Ziemeļkorejas režīmu saistīto draudu dalībnieku (threat actors) ar nosaukumu TA444, bet plašākā kiberdrošības kopienā tas tiek identificēts kā APT38, BlueNoroff, Copernicium un Stardust Chollima.
“TA444 izmanto visdažādākās piegādes metodes un payloads, kā arī ar blockchain saistītas viltības, viltotas darba iespējas prestižos uzņēmumos un algu piedāvājumus, lai noķertu upurus,” teikts uzņēmuma drošības ziņojumā, kas kopīgots ar The Hacker News.
Šis progresīvais pastāvīgais apdraudējums (advanced persistent threat) ir sava veida novirze starp valsts sponsorētajiem grupējumiem, jo tā operācijas ir finansiāli motivētas un vērstas uz nelikumīgu ieņēmumu gūšanu Ziemeļkorejas režīmam, nevis spiegošanu un datu zādzību.
Šim nolūkam uzbrukumos tiek izmantoti pikšķerēšanas e-pasta ziņojumi, kas parasti ir pielāgoti upura interesēm un kuros ir pievienoti ļaunatūras pielikumi, piemēram, .LNK faili un .ISO disku faili, lai iedarbinātu infekcijas ķēdi.
Starp citām taktikām ir arī viltus un kompromitētu LinkedIn kontu izmantošana, kas pieder likumīgu uzņēmumu vadītājiem, lai uzrunātu mērķauditoriju un sazinātos ar to, pirms tiek nosūtītas viltotas pikšķerēšanas saites.
Fokuss no spiegošanas uz finansiālu motivāciju
Tomēr jaunākajās kampaņās 2022. gada decembra sākumā tika novērota būtiska novirze, jo pikšķerēšanas ziņojumos saņēmēji tika aicināti noklikšķināt uz URL, kas novirzīja uz akreditācijas datu iegūšanas lapu.
Lai izplatītu pikšķerēšanas saites, tika izmantoti tādi e-pasta mārketinga rīki kā SendGrid, kas bija vērsti ne tikai uz finanšu nozari, bet arī uz vairākiem citiem sektoriem ASV un Kanādā, tostarp izglītību, valsts iestādēm un veselības aprūpi.
Papildus izpētē ir novērots, ka TA444 paplašina CageyChameleon (pazīstams arī kā CabbageRAT) funkcionalitāti, lai vēl vairāk atvieglotu upuru profilēšanu, vienlaikus saglabājot arī plašu pēcprofilēšanas rīku arsenālu, kas atvieglo uzbrukumus.
Nav uzreiz skaidrs, kas pamudināja TA444 paplašināt uzbrukumu repertuāru, lai gan ir aizdomas, ka tas varētu būt mēģinājums strādāt pastiprinātā režīmā, lai pārsniegtu savus tradicionālos mērķus. Alternatīvi Proofpoint pieļauj iespēju, ka TA444 infrastruktūru ir pārtvēris cits draudu dalībnieks.
“2022. gadā TA444 pievērsās kriptovalūtām jaunā līmenī un sāka imitēt kibernoziedzības ekosistēmu, testējot dažādas inficēšanās ķēdes, lai palīdzētu paplašināt savu ieņēmumu plūsmu,” norādīja uzņēmums.
“TA444, kam piemīt jaunuzņēmumu mentalitāte un aizraušanās ar kriptovalūtu, vāc naudu Ziemeļkorejas režīma vajadzībām, iepludinot pamatā nelegāli iegūtus līdzekļus,” sacīja Proofpoint pārstāvis Gregs Lesnevičs. “Šis draudu dalībnieks strauji izstrādā jaunas uzbrukumu metodes, vienlaikus izmantojot sociālos medijus kā daļu no sava modus operandi.”
“Grupējums joprojām cenšas izmantot kriptovalūtu kā mehānismu, lai nodrošinātu režīmam izmantojamus līdzekļus,” piebilda Lesņevičs.
