Un acteur de la menace nord-coréen cible la crypto-monnaie avec de nouvelles méthodologies


Un nouveau rapport de Proofpoint Inc. détaille aujourd’hui un acteur menaçant nord-coréen parrainé par l’État qui a activement ciblé les détenteurs de crypto-monnaie et les échanges en utilisant de nouvelles méthodologies.

Surnommé TA444, le groupe est actif depuis au moins 2017 et en 2022 s’est tourné vers la crypto-monnaie. Il a des chevauchements avec l’activité publique de groupes tels que APT38, Bluenoroff, BlackAlicanto, Stardust Chollima et COPERNICIUM, et on pense qu’il est chargé d’acheminer des fonds vers la Corée du Nord ou ses gestionnaires à l’étranger.

Les groupes de piratage nord-coréens ne sont pas nouveaux, mais ce qui rend TA444 intéressant, c’est que le groupe utilise une plus grande variété de méthodes de livraison et de charges utiles qu’auparavant. Le groupe utilise également des leurres liés à la blockchain, de fausses opportunités d’emploi dans des entreprises prestigieuses et des ajustements de salaire pour piéger les victimes.

Lorsqu’il a été repéré pour la première fois en train de s’intéresser à la blockchain et à la crypto-monnaie, TA444 a utilisé deux vecteurs d’attaque pour l’accès initial : une chaîne de livraison orientée LNK et une chaîne commençant par des documents utilisant des modèles distants. Les campagnes étaient généralement appelées DangerousPassword, CryptoCore ou SnatchCrypto.

Plus récemment, TA444 a continué à utiliser les deux méthodes mais s’est diversifié dans d’autres méthodes d’accès initial. Bien qu’il ne les ait pas utilisés lors de campagnes précédentes, TA444 a commencé à utiliser des macros à l’automne, essayant de trouver des types de fichiers supplémentaires pour y insérer ses charges utiles.

Tout en suggérant en plaisantant que TA444 a peut-être organisé un hackathon pour développer de nouvelles idées de piratage, les chercheurs notent également qu’aussi surprenant que la variance des méthodes de livraison est un manque de charge utile cohérente à la fin des chaînes de livraison.

Traditionnellement, lorsque les acteurs de la menace financièrement orientés testent les méthodes de diffusion, ce que semble faire le TA444, ils fournissent généralement des charges utiles cohérentes. Cependant, ce n’est pas le cas avec TA444, qui utilise différentes charges utiles, ce qui suggère qu’il dispose d’une équipe de développement intégrée, voire dévouée, qui conçoit de nouvelles formes de logiciels malveillants.

« Avec une mentalité de startup et une passion pour la crypto-monnaie, TA444 est le fer de lance de la génération de flux de trésorerie nord-coréens pour le régime en apportant des fonds lavables », a déclaré Greg Lesnewich, chercheur principal sur les menaces chez Proofpoint, à SiliconANGLE. « Cet acteur de la menace imagine rapidement de nouvelles méthodes d’attaque tout en adoptant les médias sociaux dans le cadre de son MO. »

Lesnewich prévient que TA444 a porté « sa concentration sur les crypto-monnaies à un nouveau niveau et a commencé à imiter l’écosystème de la cybercriminalité en testant une variété de chaînes d’infection pour aider à étendre ses sources de revenus ».

Image : Needpix

Montrez votre soutien à notre mission en rejoignant notre Cube Club et notre communauté d’experts Cube Event. Rejoignez la communauté qui comprend Amazon Web Services et le PDG d’Amazon.com Andy Jassy, ​​le fondateur et PDG de Dell Technologies Michael Dell, le PDG d’Intel Pat Gelsinger et bien d’autres sommités et experts.

Laisser un commentaire