Aggiornamenti recenti Ottobre 14th, 2024 2:00 PM
Gen 27, 2023 Dario Orlandi Apt, Attacchi, Minacce, News, RSS 0
I ricercatori di Proofpoint hanno pubblicato un’analisi che approfondisce la storia criminale e le attività del gruppo Apt TA444, che sta lavorando con mentalità imprenditoriale per generare flussi di denaro da destinare al suo state-sponsor, identificato nel regime nordcoreano.
TA444 è un gruppo Advanced Persistent Threat sponsorizzato dalla Corea del Nord che i ricercatori fanno coincidere con le attività pubbliche riconducibili a diverse sigle, tra cui APT38, Bluenoroff, BlackAlicanto, Stardust Chollima e COPERNICIUM.
Il suo compito principale, almeno attualmente, sembra essere quello di generare entrate per il regime nordcoreano. Per questo motivo, in passato ha spesso attaccato le banche e gli istituti finanziari, ma più di recente ha invece rivolto la sua attenzione al settore delle criptovalute.
Greg Lesnewich, Senior Threat Researcher di Proofpoint, ha spiegato: “Con una mentalità da startup e una passione per le criptovalute, TA444 guida la Corea del Nord nella generazione di flussi di denaro per il regime, facendo affluire fondi riciclabili. Questo attore di minacce concepisce rapidamente nuovi metodi di attacco e abbraccia i social media come parte del suo modus operandi”.
“Nel 2022, TA444 ha portato la sua attenzione sulle criptovalute a un nuovo livello e ha iniziato a imitare l’ecosistema del crimine informatico testando una varietà di catene di infezione per contribuire ad ampliare i propri flussi di entrate”, ha concluso Lesnewich.
Quando ha iniziato a lavorare sulla blockchain e sulle criptovalute, TA444 utilizzava due metodi principali per accedere ai dati delle vittime: una delivery chain LNK-oriented e una basata su documenti che utilizzano modelli remoti.
Lo scorso anno il gruppo ha continuato ad utilizzare entrambi i metodi, ma ha anche ampliato il suo repertorio, cercando di variare il vettore dei propri payload.
Per convincere le vittime a cliccare sui link malevoli, TA444 ha elaborato una strategia di marketing completa, utilizzando strumenti di email marketing per coinvolgere il suo pubblico di riferimento e reindirizzarlo verso file ospitati nel cloud o direttamente nell’infrastruttura gestita dal gruppo.
I ricercatori di Proofpoint hanno però notato un cambiamento significativo nelle abitudini di TA444 a dicembre 2022.
Il gruppo ha lanciato una campagna di raccolta di credenziali estremamente semplice inviando email di phishing OneDrive con molti refusi a una vasta gamma di obiettivi negli Stati Uniti e in Canada nei settori dell’istruzione, della PA e della sanità, nonché nel settore finanziario.
Le email invitavano gli utenti a cliccare su un Url di SendGrid che reindirizzava a una pagina di raccolta di credenziali.
La deviazione del target e il volume dei messaggi hanno spinto i ricercatori ad analizzare la campagna per comprendere le nuove attività del gruppo: questa sola ondata di spam, infatti, ha quasi raddoppiato il volume totale di messaggi email di TA444 osservati nel corso dell’anno.
Le famiglie di malware utilizzate prevalentemente sono CageyChameleon e Astraeus. CageyChameleon è sfruttato per profilare le vittime e esfiltrare informazioni, mentre Astraeus interviene come secondo stadio per scaricare ulteriori strumenti.
TA444 ha anche utilizzato tecniche di mimetizzazione e prende in prestito contenuti dalle vittime per rendere le sue comunicazioni più credibili.
Nel 2021 ha rubato circa 400 milioni di dollari di criptovalute e beni correlati, e nel 2022 ha superato questo valore con un singolo furto da oltre 500 milioni di dollari, raccogliendo più di 1 miliardo di dollari nel corso dell’anno.
Ott 08, 2024 0
Set 13, 2024 0
Ago 02, 2024 0
Ago 02, 2024 0
Ott 14, 2024 0
Ott 14, 2024 0
Ott 11, 2024 0
Ott 10, 2024 0
Ott 10, 2024 0
Negli ultimi anni il numero di campagne di business email...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 09, 2024 0
Acronis ha rilasciato il suo report “Acronis...Ott 03, 2024 0
Dopo essere entrata in vigora il 17 gennaio 2023, la NIS2...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Ott 14, 2024 0
Lo scorso mercoledì la CISA (Cybersecurity &...Ott 14, 2024 0
Nell’ultima settimana, il CERT-AGID (Computer...Ott 11, 2024 0
Mercoledì Google ha annunciato Global Signal Exchange,...Ott 10, 2024 0
I ricercatori di Jscrambler hanno individuato peculiare...Ott 10, 2024 0
Negli ultimi anni il numero di campagne di business