krypto Cybersäkerhetsföretaget Proofpoint har nyligen släppt en ny rapport som beskriver de senaste aktiviteterna av en förnyad hotaktör med kopplingar till den nordkoreanska staten. I dagsläget har aktören lyckats lura till sig över 1 miljard dollar i kryptovalutor.
Den senaste aktiviteten från aktören har sannolikt har till uppgift att generera intäkter för den nordkoreanska regimen genom att distribuera e-postkampanjer laddade med skadlig kod för att stjäla kryptovaluta.
Det innebär också ett skifte för TA444, som tidigare riktat in sig på banker och finansiella. Under 2022 har man istället helt fokuserat på kryptovaluta.
Kampanjerna använder blockchain-relaterade lockbeten, falska jobbmöjligheter på prestigefyllda företag eller lönejusteringar för att lura mottagare att klicka. Vad som är speciellt med TA444 är att aktören dels ständigt anpassar sig till nya metoder, dels använder sig av sociala medier som en del av sin taktik. Särskilt aktiva är TA444 på LinkedIn.
TA444 nyttjar mejlverktyg som SendInBlue och SendGrid för att antingen skicka vidare mottagarna till filer lagrade i molnet eller att koppla upp mottagarna direkt mot TA444. Genom att använda sig av verktygen undviker man att fastna i spamfilter.
– Genom att visa upp en startup-mentalitet och en passion för kryptovaluta, leder TA444 Nordkoreas kassaflödesgenerering för regimen. Den här hotaktören upptäcker snabbt nya attackmetoder samtidigt som den omfamnar sociala medier som en del av deras strategi. 2022 tog TA444 sitt fokus på kryptovalutor till en ny nivå och har tagit sig an att efterlikna cyberbrottslighetens ekosystem genom att testa en mängd olika infektionskedjor för att utöka sina intäktsströmmar, säger Greg Lesnewich, cybersäkerhetsforskare på Proofpoint.
Några nyckelpunkter från rapporten:
LÄS MER