오늘 Proofpoint Inc.의 새로운 보고서는 새로운 방법론을 사용하여 암호 화폐 보유자와 거래소를 적극적으로 표적으로 삼고 있는 개선된 국가 지원 북한 위협 행위자를 자세히 설명합니다.
TA444라고 불리는 이 그룹은 적어도 2017년부터 활동해 왔으며 2022년에는 암호화폐로 관심을 돌렸습니다. APT38, 블루노로프, 블랙알리칸토, 스타더스트 천리마, 코페르니시움 등의 단체의 공개 활동과 겹치며 북한이나 해외 조련사에게 자금을 보내는 역할을 하는 것으로 추정된다.
북한 해킹 그룹은 새로운 것이 아니지만 TA444를 흥미롭게 만드는 것은 이 그룹이 이전에 본 것보다 더 다양한 전달 방법과 페이로드를 사용한다는 것입니다. 이 그룹은 또한 블록체인 관련 미끼, 유명 기업의 가짜 취업 기회 및 급여 조정을 사용하여 피해자를 함정에 빠뜨립니다.
블록체인과 암호화폐에 관심을 갖는 것이 처음 발견되었을 때 TA444는 초기 액세스를 위해 LNK 지향 전달 체인과 원격 템플릿을 사용하는 문서로 시작하는 체인의 두 가지 공격 벡터를 사용했습니다. 캠페인은 일반적으로 DangerousPassword, CryptoCore 또는 SnatchCrypto로 불렸습니다.
보다 최근에는 TA444가 두 가지 방법을 계속 사용했지만 초기 액세스를 위해 다른 방법으로 다양화되었습니다. 이전 캠페인에서 사용하지 않았음에도 불구하고 TA444는 가을에 매크로를 사용하여 페이로드를 채울 추가 파일 유형을 찾으려고 시도했습니다.
연구원들은 TA444가 새로운 해킹 아이디어를 개발하기 위해 해커톤을 열었을 수도 있다고 농담조로 제안하면서 전달 방법의 차이만큼 놀라운 것은 전달 체인의 끝에 일관된 페이로드가 없다는 점에 주목했습니다.
전통적으로 금전적인 위협 행위자가 TA444가 수행하는 것처럼 보이는 전달 방법을 테스트할 때 일반적으로 일관된 페이로드를 전달합니다. 그러나 이것은 다른 페이로드를 사용하는 TA444의 경우에는 해당되지 않으며, 이는 새로운 형태의 맬웨어를 설계하는 전담 개발 팀이 내장되어 있거나 전담 개발 팀이 있음을 시사합니다.
Proofpoint의 선임 위협 연구원인 Greg Lesnewich는 SiliconANGLE과의 인터뷰에서 “스타트업 정신과 암호화폐에 대한 열정을 가진 TA444는 세탁 가능한 자금을 가져와 북한 정권을 위한 현금 흐름 창출을 주도하고 있습니다. “이 위협 행위자는 소셜 미디어를 MO의 일부로 수용하면서 새로운 공격 방법을 빠르게 구상합니다.”
Lesnewich는 TA444가 “암호화폐에 대한 초점을 새로운 수준으로 끌어 올렸고 수익원 확장을 돕기 위해 다양한 감염 체인을 테스트하여 사이버 범죄 생태계를 모방했습니다.”라고 경고했습니다.
