Home암호화폐북한 해커, 최근 사이버 공격의 물결 속에서 자격 증명 수집으로 전환

북한 해커, 최근 사이버 공격의 물결 속에서 자격 증명 수집으로 전환

2023년 1월 25일라비 락슈마난암호화폐/악성코드

암호화폐 강탈로 악명 높은 북한의 국가 그룹이 여러 산업 분야를 대상으로 하는 “확장” 자격 증명 수집 활동의 일환으로 새로운 악성 이메일 공격의 물결을 일으켜 전략에 상당한 변화를 가져왔습니다.

국가 차원의 위협 행위자는 Proofpoint라는 이름으로 추적되고 있습니다. TA444APT38, BlueNoroff, Copernicium 및 Stardust Chollima와 같은 더 큰 사이버 보안 커뮤니티에 의해.

기업 보안 회사는 해커 뉴스(The Hacker News)와 공유한 보고서에서 “TA444는 블록체인 관련 미끼, 유명 기업에서의 가짜 취업 기회, 희생자를 유혹하기 위한 급여 조정과 함께 다양한 전달 방법 및 페이로드를 활용하고 있다”고 밝혔다.

지능형 지속적 위협은 그 운영이 금전적 동기를 부여하고 Hermit Kingdom을 위한 불법 수익 창출에 맞춰져 있다는 점에서 국가 후원 그룹 사이에서 일종의 일탈입니다.

이를 위해 공격은 일반적으로 피해자의 관심사에 맞게 조정된 피싱 이메일을 사용하며 감염 체인을 트리거하기 위해 LNK 파일 및 ISO 광학 디스크 이미지와 같은 맬웨어가 포함된 첨부 파일이 포함되어 있습니다.

다른 전술 중에는 부비트랩 링크를 제공하기 전에 표적에 접근하고 교전하기 위해 합법적인 회사 임원의 손상된 LinkedIn 계정을 사용하는 것이 포함됩니다.

그러나 2022년 12월 초의 최근 캠페인에서는 피싱 메시지가 수신자에게 자격 증명 수집 페이지로 리디렉션되는 URL을 클릭하도록 유도하는 “중대한 편차”를 목격했습니다.

이메일 폭발은 미국과 캐나다의 교육, 정부, 의료를 포함하여 금융 부문 외에 여러 수직 분야를 대상으로 했습니다.

실험 외에도 TA444는 CageyChameleon(일명 CabbageRAT)의 기능을 확장하여 피해자 프로파일링을 더욱 지원하는 동시에 절도를 용이하게 하기 위한 광범위한 악용 후 도구를 유지하는 것으로 관찰되었습니다.

프루프포인트는 “2022년 TA444는 암호화폐에 초점을 맞추고 다양한 감염 체인을 테스트해 사이버 범죄 생태계를 모방해 수익원을 확대했다”고 말했다.

이번 조사 결과는 미 연방수사국(FBI)이 2022년 6월 하모니 호라이즌 브리지에서 도난당한 1억 달러의 암호화폐를 훔친 혐의로 블루노로프 행위자들을 고발하면서 나온 것입니다.

Proofpoint의 Greg Lesnewich는 “스타트업 정신과 암호화폐에 대한 열정으로 TA444는 세탁 가능한 자금을 가져와 북한 정권을 위한 현금 흐름 창출을 주도하고 있습니다.”라고 말했습니다. “이 위협 행위자는 소셜 미디어를 공격 수단의 일부로 수용하면서 새로운 공격 방법을 신속하게 구상합니다. [modus operandi].”

회사는 “이 그룹은 정권에 사용 가능한 자금을 제공하기 위한 수단으로 암호화폐를 사용하려는 노력에 계속 참여하고 있다”고 덧붙였다.

이 기사가 흥미로웠나요? 우리를 따라 오세요 트위터 우리가 게시하는 더 많은 독점 콘텐츠를 읽을 수 있습니다.


최신 기사

더 탐색