Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
Gen 27, 2023 Dario Orlandi Apt, Attacchi, Minacce, News, RSS 0
I ricercatori di Proofpoint hanno pubblicato un’analisi che approfondisce la storia criminale e le attività del gruppo Apt TA444, che sta lavorando con mentalità imprenditoriale per generare flussi di denaro da destinare al suo state-sponsor, identificato nel regime nordcoreano.
TA444 è un gruppo Advanced Persistent Threat sponsorizzato dalla Corea del Nord che i ricercatori fanno coincidere con le attività pubbliche riconducibili a diverse sigle, tra cui APT38, Bluenoroff, BlackAlicanto, Stardust Chollima e COPERNICIUM.
Il suo compito principale, almeno attualmente, sembra essere quello di generare entrate per il regime nordcoreano. Per questo motivo, in passato ha spesso attaccato le banche e gli istituti finanziari, ma più di recente ha invece rivolto la sua attenzione al settore delle criptovalute.
Greg Lesnewich, Senior Threat Researcher di Proofpoint, ha spiegato: “Con una mentalità da startup e una passione per le criptovalute, TA444 guida la Corea del Nord nella generazione di flussi di denaro per il regime, facendo affluire fondi riciclabili. Questo attore di minacce concepisce rapidamente nuovi metodi di attacco e abbraccia i social media come parte del suo modus operandi”.
“Nel 2022, TA444 ha portato la sua attenzione sulle criptovalute a un nuovo livello e ha iniziato a imitare l’ecosistema del crimine informatico testando una varietà di catene di infezione per contribuire ad ampliare i propri flussi di entrate”, ha concluso Lesnewich.
Quando ha iniziato a lavorare sulla blockchain e sulle criptovalute, TA444 utilizzava due metodi principali per accedere ai dati delle vittime: una delivery chain LNK-oriented e una basata su documenti che utilizzano modelli remoti.
Lo scorso anno il gruppo ha continuato ad utilizzare entrambi i metodi, ma ha anche ampliato il suo repertorio, cercando di variare il vettore dei propri payload.
Per convincere le vittime a cliccare sui link malevoli, TA444 ha elaborato una strategia di marketing completa, utilizzando strumenti di email marketing per coinvolgere il suo pubblico di riferimento e reindirizzarlo verso file ospitati nel cloud o direttamente nell’infrastruttura gestita dal gruppo.
I ricercatori di Proofpoint hanno però notato un cambiamento significativo nelle abitudini di TA444 a dicembre 2022.
Il gruppo ha lanciato una campagna di raccolta di credenziali estremamente semplice inviando email di phishing OneDrive con molti refusi a una vasta gamma di obiettivi negli Stati Uniti e in Canada nei settori dell’istruzione, della PA e della sanità, nonché nel settore finanziario.
Le email invitavano gli utenti a cliccare su un Url di SendGrid che reindirizzava a una pagina di raccolta di credenziali.
La deviazione del target e il volume dei messaggi hanno spinto i ricercatori ad analizzare la campagna per comprendere le nuove attività del gruppo: questa sola ondata di spam, infatti, ha quasi raddoppiato il volume totale di messaggi email di TA444 osservati nel corso dell’anno.
Le famiglie di malware utilizzate prevalentemente sono CageyChameleon e Astraeus. CageyChameleon è sfruttato per profilare le vittime e esfiltrare informazioni, mentre Astraeus interviene come secondo stadio per scaricare ulteriori strumenti.
TA444 ha anche utilizzato tecniche di mimetizzazione e prende in prestito contenuti dalle vittime per rendere le sue comunicazioni più credibili.
Nel 2021 ha rubato circa 400 milioni di dollari di criptovalute e beni correlati, e nel 2022 ha superato questo valore con un singolo furto da oltre 500 milioni di dollari, raccogliendo più di 1 miliardo di dollari nel corso dell’anno.
Nov 12, 2024 0
Ott 16, 2024 0
Ott 08, 2024 0
Set 13, 2024 0
Nov 21, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 19, 2024 0
Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Nov 11, 2024 0
Kaspersky ha collaborato a Synergia II, operazione...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...Nov 18, 2024 0
István Márton, ricercatore di Wordfence, ha individuato...