Home암호화폐북한의 암호화 해커들은 계속 코를 갈고 있습니다

북한의 암호화 해커들은 계속 코를 갈고 있습니다

Cybercrime , Cybercrime as-a-service , Cyberwarfare / Nation-State Attacks 사이버 범죄

TA444는 적응력이 뛰어나고 열심히 일하고 있습니다.

미히르 바궤(미히르바그웨) •
2023년 1월 25일

지난 12월 미국과 캐나다 금융 노동자의 자격 증명을 수집하기 위해 대량의 스팸을 퍼뜨린 것은 북한의 영리 목적 해킹 그룹이 수익원을 다각화하려는 시도였습니다.

Proofpoint의 연구원 그 달에 그들이 TA444로 추적한 그룹이 지난 11개월 동안 보낸 스팸의 총량을 거의 두 배로 늘렸다고 말합니다. 이는 “달러와 갈기에 헌신하는 스타트업 문화”를 반영하는 해킹 그룹의 증거입니다.

또한보십시오: 라이브 웨비나 | OT 패치의 어려움 탐색

TA444는 APT38, Bluenoroff, BlackAlicanto, Stardust Chollima 및 Copernicium 그룹으로 알려진 다른 평양 해킹 그룹과 중복됩니다.

북한은 국가의 지원을 받는 해커가 자국의 금전적 이득을 위해 공격하는 드문 국가입니다. 최근 화요일, 미국 FBI는 가상화폐 브리지인 Horizon에서 북한 해커가 1억 달러를 절도했다고 밝혔습니다.

2019년 유엔은 암호화폐와 온라인 은행 강도가 북한이 핵무기와 대륙간 탄도 미사일 개발에 20억 달러를 투자할 수 있게 했다고 추정했습니다(참조: 북한 해킹 자금 WMD 프로그램, UN 보고서 경고).

Proofpoint는 TA444의 폭발적인 활동이 달빛의 증거일 가능성을 배제할 수 없다고 말합니다. 그렇다면 보안 연구는 도구 및 인프라 재사용을 확인하고 “주요 암호 화폐 및 금융 기관에서 지속적으로 벗어나는 대상”의 증거를 탐지하기 시작해야 합니다.

Proofpoint의 수석 위협 연구원인 Greg Lesnewich는 TA444가 제품을 즉석에서 테스트할 수 있는 능력을 보여준다고 말했습니다.

위협 행위자는 초기 액세스를 위해 피싱 메일을 사용하며 일반적으로 암호화폐 블록체인 분석, 유명 기업에서의 취업 기회 및 급여 조정을 포함하는 잘 만들어진 유인 콘텐츠와 함께 전송됩니다.

피싱 이메일은 난독 처리된 LNK 파일과 원격 템플릿을 사용하는 문서로 시작하는 체인의 두 가지 파일 형식으로 페이로드를 전달합니다. TA444는 두 가지 방법을 계속 사용하지만 이제 MSI 설치 프로그램 파일, 가상 하드 드라이브, ISO를 사용하여 Windows Mark of the Web 및 컴파일된 HTML을 우회하는 다른 파일 형식도 사용합니다.

공격자는 적중률을 개선하기 위해 악성 링크를 제공하기 전에 LinkedIn과 같은 소셜 네트워킹 플랫폼을 사용하여 피해자와 소통합니다. 배우는 영어, 스페인어, 폴란드어 및 일본어에 대한 이해를 입증했습니다.

암호화폐를 훔치는 것이 위협 행위자의 주요 동기이지만 보안 연구원들은 악용 후 백도어의 “인상적인 세트”도 관찰했습니다.

연구원들은 TA444가 2021년 거의 4억 달러 상당의 암호화폐 및 디지털 자산을 훔쳤고 작년에 10억 달러 이상으로 마감된 단일 강도에서 그 가치를 쉽게 능가했기 때문에 TA444를 “유능한 적”이라고 부릅니다.


최신 기사

더 탐색