Hackers de criptomoedas norte-coreanos expandem lista de alvos
Hackers norte-coreanos conhecidos por roubos de criptomoedas estão expandindo seus alvos para incluir educação, governo e saúde, de acordo com pesquisadores que acompanham o grupo. A atividade pode ser um sinal de que o grupo, suspeito de dois hacks de criptomoedas de alto perfil em 2022, pode ter planos ainda maiores para 2023.
Pesquisadores da empresa de segurança cibernética Proofpoint observaram no início de dezembro uma enorme onda de e-mails de phishing de um grupo de atividades de hackers relacionadas à Coreia do Norte ligadas ao TA444, o nome da empresa para o grupo. A campanha mais recente, que enviou mais e-mails do que os pesquisadores atribuídos a esse grupo em todo o ano de 2022, tentou atrair os usuários a clicar em um URL que redirecionava para uma página de coleta de credenciais.
A Proofpoint não pode divulgar os detalhes sobre os alvos por motivos de confidencialidade, mas a maioria está relacionada a finanças de alguma forma. Os documentos anexados aos e-mails incluíam títulos como “Lucros e perdas”, “Recibos de fatura e extrato” e “Ajustes salariais”. Os e-mails maliciosos também incluíam iscas mencionando “análises de blockchains de criptomoedas, oportunidades de emprego em empresas de prestígio ou ajustes salariais”, de acordo com o relatório. Para ajudar a evitar ferramentas de detecção de phishing, o TA444 usa ferramentas de marketing por e-mail para interagir com os alvos.
Os pesquisadores dizem que a campanha é incomum por alguns motivos. Tecnicamente, isso se desvia da atividade anterior do grupo, pois os hackers se concentraram em tentar roubar o login e as senhas do alvo, em vez de uma implantação direta de malware.
Anúncio
A grande questão é por que um grupo conhecido por ser motivado financeiramente visaria os setores governamental e educacional ao lado do setor financeiro muito mais lucrativo. O TA444, como outros grupos de atividades associados ao governo norte-coreano, é quase exclusivamente motivado financeiramente. Nos anos mais recentes, os hackers norte-coreanos se concentraram especialmente na indústria de criptomoedas.
O TA444 se sobrepôs ao Lazarus, um grupo de hackers norte-coreanos ao qual o FBI atribuiu um ataque recorde de US$ 600 milhões em criptomoedas à Ronin Bridge , a infraestrutura que conectava o videogame Axie Infinity com a blockchain Ethereum. O FBI atribuiu na segunda-feira um hack separado de $ 100 milhões da Ponte Harmony ao grupo depois que os hackers recentemente tentaram lavar $ 60 milhões em dinheiro roubado no roubo.
A campanha de dezembro vem logo após uma mudança perceptível nas táticas de entrega que os pesquisadores começaram a notar no outono, demonstrando que o grupo pode estar adotando uma mentalidade mais “start-up”, escreveram os pesquisadores da Proofpoint.
“Nem sempre podemos derivar o motivo por trás das mudanças na estratégia. Mas podemos ter a resposta mais tarde, quando virmos mais desses ataques”, disse Alexis Dorais-Joncas, gerente sênior de pesquisa de ameaças da Proofpoint. “Pode ser um caso isolado. Pode ser um teste para ver quanto sucesso eles poderiam ter hackeando outros tipos de organizações. Mas agora, não está muito claro para nós por que eles estão realmente fazendo isso.”
Pesquisadores da Kaspersky em dezembro também notaram que hackers norte-coreanos estão usando métodos de entrega de malware. Eles descobriram que os hackers criaram vários domínios falsos, a maioria deles imitando empresas de capital de risco japonesas. Os domínios sinalizados pela Proofpoint também incluíam tentativas de falsificação de instituições financeiras japonesas.
Anúncio
O Proofpoint não pode descartar que outro ator tenha comprometido o servidor do TA444 ou que o grupo esteja potencialmente trabalhando para outros propósitos, o que pode sinalizar mais diferenciação nos alvos daqui para frente.
Fonte: https://cyberscoop.com/
