Hackers norte-coreanos miram na coleta de credenciais em seus ataques

hackers-norte-coreanos-miram-na-coleta-de-credenciais-em-seus-ataques
Invasão russa põe em risco normas de segurança cibernética

Um grupo de cibercriminosos norte-coreano muito conhecido por roubos de criptomoedas foi atribuído a uma nova onda de ataques de e-mail maliciosos. Esses hackers estão mirando na coleta de credenciais “ampla” visando uma série de setores verticais da indústria.

Hackers norte-coreanos e a coleta de credenciais

Os hackers foram rastreados pela Proofpoint sob o nome de TA444 e pela maior comunidade de segurança cibernética como APT38, BlueNoroff, Copernicium e Stardust Chollima.

De acordo com a Proofpoint, em um relatório ao The Hacker News, o TA444 está utilizando uma ampla variedade de métodos de entrega e cargas úteis juntamente com iscas relacionadas a blockchain, falsas oportunidades de emprego em empresas de prestígio e ajustes salariais para atrair vítimas.

A ameaça avançada é uma espécie de aberração entre os grupos patrocinados pelo estado, pois suas operações são motivadas financeiramente e voltadas para a geração de receita ilícita para o Reino Eremita, lembra o Bleeping Computer.

hackers-norte-coreanos-miram-na-coleta-de-credenciais-em-seus-ataques

Nos ataques para a coleta de credenciais, os hackers empregam e-mails de phishing, geralmente adaptados aos interesses da vítima, carregados de anexos com malware, como arquivos LNK e imagens de disco óptico ISO para acionar a cadeia de infecção. Entre outras táticas, está o uso de contas comprometidas do LinkedIn pertencentes a executivos legítimos da empresa para abordar e se envolver com alvos antes de fornecer links com armadilhas.

Campanhas mais recentes testemunharam um “desvio significativo”, em que as mensagens de phishing levaram os destinatários a clicar em um URL que redirecionava para uma página de coleta de credenciais. A explosão de e-mail teve como alvo vários setores além do setor financeiro, incluindo educação, governo e saúde, nos EUA e no Canadá.

Além da experimentação, o TA444 também foi observado expandindo a funcionalidade do CageyChameleon para ajudar ainda mais na criação de perfis de vítimas, ao mesmo tempo em que mantém um amplo arsenal de ferramentas pós-exploração para facilitar o roubo.

De acordo com a Proofpoint:

Em 2022, o TA444 elevou seu foco em criptomoedas a um novo nível e passou a imitar o ecossistema do cibercrime testando uma variedade de cadeias de infecção para ajudar a expandir seus fluxos de receita.

As descobertas foram feitas quando o Federal Bureau of Investigation (FBI) dos EUA acusou os atores do BlueNoroff de realizar o roubo de US$ 100 milhões (cerca de R$ 509.000,00) em criptomoedas roubadas da Harmony Horizon Bridge em junho de 2022.

O grupo “permanece engajado em seus esforços para usar a criptomoeda como um veículo para fornecer fundos utilizáveis ??ao regime”, de acordo com a Proofpoint. No entanto, aparece empenhada em conseguir credenciais de suas vítimas.