資安公司Proofpoint調查由北韓政府資助的駭客團體TA444近期活動,從2017年開始,TA444積極竊取加密貨幣資產,並且在2022年嘗試更多種攻擊手法,至今已成功盜走十多億美元。研究人員提到,該團體的犯案動機主要是金錢利益,而且其感染鏈之多樣,可說是整個網路犯罪威脅場域的縮影。
根據Proofpoint的調查,TA444是北韓駭客團體,活動範圍與APT38、Bluenoroff、BlackAlicanto、Stardust Chollima和Copernicium等團體高度重疊,任務是替北韓政府賺錢,過去的目標通常是銀行,並將竊取來的金錢送入北韓或是交由國外的處理人員。這系列針對加密貨幣的行動,Proofpoint透過辨識TA444專屬的基礎設施來鎖定該團體。
TA444竊取加密貨幣的活動主要有兩條攻擊鏈,一條是LNK導向的交付鏈,另一條是遠端模板文件的攻擊鏈,這種攻擊手法通常被稱為DangerousPassword、CryptoCore或SnatchCrypto。相較於其他攻擊者,TA444有何不同?傳統金錢利益導向的攻擊者,通常傾向使用一致的攻擊負載(Payload),TA444卻非如此,研究人員認為TA444有個專責團隊負責開發攻擊工具。
之所以TA444能成功說服受害者點擊惡意LNK,是因為該團體運用整套行銷策略來吸引人,他們會製作目標感興趣的誘餌內容,提供包括加密貨幣分析、著名企業工作機會和薪資等資訊。
除此之外,TA444也濫用電子郵件行銷工具SendInBlue和SendGrid吸引目標受眾,引導受害者下載惡意雲端檔案,並誘使受害者連接到TA444基礎設施。研究人員提到,電子郵件行銷工具所嵌入的連結,能削弱用戶點擊釣魚連結的戒心。
TA444的攻擊實踐還包含在社交軟體的活動,攻擊者在提供惡意連結之前,會先在LinkedIn與受害者互動。研究人員發現TA444團隊成員,有能力使用英文、西版牙文、波蘭文和日文與受害者溝通。在2022年,TA444繼續使用者這兩條攻擊鏈,還嘗試發展出更多元的攻擊手法,開始運用巨集之餘,更試圖找到其他檔案類型來嵌入攻擊負載。
由於TA444不停變換攻擊手法,Proofpoint研究人員甚至戲稱他們可能舉辦黑客松,才能有源源不絕的攻擊點子。TA444近年已爲北韓賺進大量資金,據估計2021年竊取價值近4億美元的加密貨幣資產,2022年獲取的加密貨幣資產更有將近10億美元。
熱門新聞
2024-11-18
2024-11-20
2024-11-12
2024-11-15
2024-11-15
2024-11-19