Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

APT hàng đầu của Bắc Triều Tiên đã lừa được 1 tỷ đô la từ các nhà đầu tư tiền điện tử vào năm 2022

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 152

Ngành công nghiệp blockchain đã bị chảy máu tiền vào năm ngoái, với thị trường tiền điện tử toàn cầu giảm mạnh 63%. Nhưng các nhà đầu tư không chỉ mất tiền vì những đồng tiền mới được nướng một nửa và những NFT được thổi phồng quá mức.

Trong một báo cáo được công bố hôm nay, các nhà nghiên cứu từ Proofpoint đã trình bày chi tiết cách các tin tặc do nhà nước Bắc Triều Tiên hậu thuẫn đã xoay sở để bòn rút hơn 1 tỷ đô la tiền điện tử và các tài sản chuỗi khối khác trong năm dương lịch 2022 (tất cả đều ấn tượng hơn khi xem xét làm thế nào suy sụp những tài sản đó đã trở nên).

Proofpoint cho rằng thành công của nhóm TA444 và các cụm liên quan — được gọi khác nhau là APT38, Bluenoroff, BlackAlicanto, Stardust Chollima và Copernicium — là nhờ cách tiếp cận giống như khởi động của họ.

Các nhà nghiên cứu cho biết, các dấu hiệu bao gồm “sự lặp lại nhanh chóng, thử nghiệm sản phẩm một cách nhanh chóng và thất bại về phía trước.” Nhóm này thường xuyên thử nghiệm các phương pháp xâm nhập mới và đã thử qua các phần mềm độc hại khác nhau và tốt hơn trong những năm gần đây.

“Mặc dù chúng tôi không biết liệu nhóm có bàn bóng bàn hay thùng IPA được đánh giá quá cao nào đó trong không gian làm việc của mình hay không,” các tác giả viết, “TA444 phản ánh văn hóa khởi nghiệp trong sự tận tâm của nó đối với đồng đô la và công việc khó khăn.”

Mối đe dọa ngày càng tăng của TA444

Có một yếu tố “di chuyển nhanh và phá vỡ mọi thứ” đối với TA444.

Trong những năm gần đây, nhóm đã lặp đi lặp lại các chiến thuật kỹ thuật xã hội của họ nhiều lần. Đôi khi, nó gửi các tin nhắn riêng tư từ các tài khoản LinkedIn bị chiếm đoạt của các đại diện từ các công ty hợp pháp, những lần khác, nó lạm dụng các công cụ tiếp thị qua email để vượt qua các bộ lọc thư rác. Nó đã tương tác với các nạn nhân bằng tiếng Anh, nhưng cũng có tiếng Nhật, tiếng Ba Lan và tiếng Tây Ban Nha.

Trong một trường hợp kỳ lạ, nó đã gửi email cho các tổ chức trên khắp các lĩnh vực chăm sóc sức khỏe, giáo dục, tài chính và chính phủ của Hoa Kỳ bằng cách sử dụng các mồi nhử lừa đảo đơn giản, đầy lỗi đánh máy. Tốt nhất, mồi nhử của họ liên quan đến các thương hiệu cụ thể trong ngành, đôi khi hứa hẹn tăng lương hoặc cơ hội việc làm, nhưng những nỗ lực ở đây chủ yếu là thô sơ.

Khi các nhóm tội phạm mạng khác có thể tập trung vào việc hoàn thiện các cơ chế thu hút và phân phối xã hội, các nhà nghiên cứu giải thích rằng việc tạo ra phần mềm độc hại là nơi TA444 thực sự phân biệt chính nó.

Bộ sưu tập các cửa hậu sau khai thác của họ bao gồm kẻ đánh cắp thông tin xác thực msoRAT, khuôn khổ rửa tiền SWIFT BAO NHUỘM, và nhiều cửa hậu thụ động và “trình lắng nghe” ảo để nhận và xử lý dữ liệu từ các máy mục tiêu.

“Điều này cho thấy rằng có một yếu tố phát triển phần mềm độc hại được nhúng hoặc ít nhất là chuyên dụng cùng với các nhà khai thác TA444,” theo báo cáo.

Bắc Triều Tiên: OG Crypto Bro

Để bổ sung cho nền kinh tế chỉ huy tồi tệ của mình, chính phủ Triều Tiên từ lâu đã sử dụng tin tặc để gây quỹ, nhắm mục tiêu vào bất cứ nơi nào có cơ hội tài chính. Điều đó bao gồm mọi thứ từ nhà bán lẻ ở Hoa Kỳ đến hệ thống ngân hàng SWIFT, và, trong một trường hợp khét tiếng, toàn bộ thế giới.

Bởi vì các công ty tiền điện tử cung cấp một số biện pháp bảo vệ chống lại hành vi trộm cắp, các giao dịch nói chung là không thể đảo ngược và các bên tham gia các giao dịch đó rất khó xác định, ngành này đầy rẫy tội phạm mạng có động cơ tài chính. Bắc Triều Tiên đã nhúng vào giếng này cho năm, với chiến dịch chống lại các công ty khởi nghiệp, botnet khai thác tiềncác chiến dịch ransomware thu hút thanh toán bằng tiền điện tử.

Tuy nhiên, năm ngoái, quy mô của vụ trộm đã đạt đến một cấp độ mới. Công ty nghiên cứu chuỗi khối Chainalysis đánh giá rằng quốc gia này đã đánh cắp gần như $ 400 triệu đô la về tiền điện tử và tài sản chuỗi khối vào năm 2021. Vào năm 2022, họ đã vượt qua con số đó chỉ bằng một cuộc tấn công — chống lại một công ty trò chơi chuỗi khối có tên là SkyMavis — ước tính trị giá hơn $ 600 triệu vào thời điểm đó. Thêm vào các cuộc tấn công khác trong suốt năm dương lịch và tổng số lần tấn công của chúng đạt Số liệu 10.

Các nhà nghiên cứu cảnh báo: “Mặc dù chúng ta có thể chế nhạo các chiến dịch rộng lớn và khả năng dễ dàng phân cụm của nó,” nhưng TA444 là một kẻ thù sắc sảo và có khả năng.”

Báo cáo của Proofpoint lưu ý rằng việc giám sát MSHTA, VBS, Powershell và thực thi ngôn ngữ kịch bản khác từ các quy trình hoặc tệp mới có thể giúp phát hiện hoạt động TA444. Nó cũng khuyến nghị sử dụng các phương pháp hay nhất cho phương pháp phòng thủ chuyên sâu để chống lại các cuộc xâm nhập TA444: Sử dụng các công cụ giám sát an ninh mạng, sử dụng các phương pháp ghi nhật ký mạnh mẽ, giải pháp điểm cuối tốt và thiết bị giám sát email, ngoài việc đào tạo lực lượng lao động để nhận biết về hoạt động trộm cắp bắt nguồn từ liên hệ trên WhatsApp hoặc LinkedIn. 

Các nhà nghiên cứu cho biết qua email: “Ngoài ra, do hoạt động của chiến dịch lừa đảo thông tin xác thực mà chúng tôi đã quan sát thấy, việc kích hoạt xác thực MFA trên tất cả các dịch vụ có thể truy cập từ bên ngoài sẽ giúp hạn chế tác động của việc thông tin đăng nhập cuối cùng bị đánh cắp”.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.