Un groupe d’États-nations nord-coréen connu pour ses cambriolages cryptographiques a été attribué à une nouvelle vague d’attaques malveillantes par e-mail dans le cadre d’une activité « tentaculaire » de collecte d’informations d’identification ciblant un certain nombre de secteurs verticaux de l’industrie, marquant un changement significatif dans sa stratégie.
L’acteur menaçant aligné sur l’état est suivi par Proofpoint sous le nom TA444et par la communauté plus large de la cybersécurité comme APT38, BlueNoroff, Copernicium et Stardust Chollima.
TA444 « utilise une plus grande variété de méthodes de livraison et de charges utiles parallèlement aux leurres liés à la blockchain, aux fausses opportunités d’emploi dans des entreprises prestigieuses et aux ajustements salariaux pour piéger les victimes », a déclaré la société de sécurité d’entreprise. m’a dit dans un rapport partagé avec The Hacker News.
La menace persistante avancée est une sorte d’aberration parmi les groupes parrainés par l’État dans la mesure où ses opérations sont motivées financièrement et orientées vers la génération de revenus illicites pour le Royaume Ermite.
À cette fin, les attaques emploient e-mails d’hameçonnagegénéralement adaptés aux intérêts de la victime, qui sont chargés de pièces jointes contenant des logiciels malveillants tels que des fichiers LNK et des images de disque optique ISO pour déclencher la chaîne d’infection.
Parmi d’autres tactiques, citons l’utilisation de comptes LinkedIn compromis appartenant à des dirigeants d’entreprise légitimes pour approcher et interagir avec des cibles avant de fournir des liens piégés.
Cependant, des campagnes plus récentes au début de décembre 2022 ont été témoins d’une « déviation significative », dans laquelle les messages de phishing ont incité les destinataires à cliquer sur une URL redirigée vers une page de collecte d’informations d’identification.
L’explosion d’e-mails ciblait plusieurs secteurs verticaux autres que le secteur financier, notamment l’éducation, le gouvernement et les soins de santé, aux États-Unis et au Canada.
L’expérimentation mise à part, TA444 a également été observé en train d’étendre la fonctionnalité de CageyChameleon (alias CabbageRAT) pour aider davantage au profilage des victimes, tout en maintenant un large éventail arsenal d’outils de post-exploitation pour faciliter le vol.
« En 2022, TA444 a porté son attention sur les crypto-monnaies à un nouveau niveau et a commencé à imiter l’écosystème de la cybercriminalité en testant une variété de chaînes d’infection pour aider à étendre ses sources de revenus », a déclaré Proofpoint.
Les découvertes interviennent alors que le Federal Bureau of Investigation (FBI) des États-Unis a accusé les acteurs de BlueNoroff d’avoir volé 100 millions de dollars en crypto volés à Harmony Horizon Bridge en juin 2022.
« Avec une mentalité de startup et une passion pour la crypto-monnaie, TA444 est le fer de lance de la génération de flux de trésorerie nord-coréens pour le régime en apportant des fonds lavables », a déclaré Greg Lesnewich de Proofpoint. « Cet acteur de la menace imagine rapidement de nouvelles méthodes d’attaque tout en adoptant les médias sociaux dans le cadre de leur [modus operandi]. »
Le groupe « reste engagé dans ses efforts pour utiliser la crypto-monnaie comme moyen de fournir des fonds utilisables au régime », a ajouté la société.
