КНДР массово похищает учётные данные иностранных гос.служащих

Северокорейской национально-государственной группе, печально известной своими криптограбежами, была приписана новая волна вредоносных атак по электронной почте.

Группировка TA444 (также известна под именами APT38, BlueNoroff, Copernicium и Stardust Chollima) использует широкий спектр методов доставки вредоносного ПО. В их арсенале: приманки, связанные с блокчейном, фальшивые возможности трудоустройства в престижные фирмы, быстрый заработок и т.д.

В атаках TA444 также часто используются фишинговые электронные письма, адаптированные под интересы жертвы. В них, как водится, безобидные на первый взгляд файлы-ярлыки .lnk или образы оптических дисков .iso, а по факту — замаскированное вредоносное ПО.

Среди других тактик TA444 — использование скомпрометированных учетных записей LinkedIn — это социальная сеть для профессионалов, где они могут общаться, делиться информацией и учиться. Запрещена в РФ за неоднократное нарушение закона о персональных данных.

» data-html=»true» data-original-title=»LinkedIn»>LinkedIn, принадлежащих законным руководителям компаний, для установления контакта и взаимодействия с целями для распространения ссылок-ловушек.

В более поздних кампаниях группировки, в декабре прошлого года, вектор атак сильно изменился. TA444 занималась распространением фишинговых сообщений, побуждающих получателей перейти на URL-адрес, который перенаправлял их на страницу сбора учетных данных (метод Credential Harvesting (Сбор учетных данных) — это техника, используемая злоумышленниками для получения личных данных пользователей, таких как логины и пароли. Это может быть сделано с помощью фишинг-атак, которые заставляют пользователей ввести свои учетные данные на фальшивых веб-сайтах, или с помощью вредоносного ПО, которое может быть установлено на компьютер пользователя и собирать информацию о вводимых данных. Они могут быть использованы злоумышленниками для получения доступа к личным и конфиденциальным данным пользователей или для выполнения мошеннических операций.

» data-html=»true» data-original-title=»Credential Harvesting»>«Credential Harvesting»).

Декабрьские вредоносные рассылки затронули в первую очередь государственные учреждения США и Канады. Видимо, в будущем TA444 планирует использовать полученные данные для новой волны атак.

Северная Корея всё чаще становится причастна к тем или иным киберпреступлениям, связанных с криптовалютой и атаками на государственные структуры разных стран. Напомним, в июне прошлого года ФБР обвинило
северокорейские группировки Lazarus Group (также известная как Guardians of Peace, Whois Team и HIDDEN COBRA) — это киберпреступная группа, численностью несколько тысяч человек, находящихся под управлением северокорейского государства.

Группировка занимает лидирующие позиции среди киберпреступников. Хакеры грабят банки и взламывают базы данных криптовалютных фирм для пополнения бюджета Северной Кореи. По данным Национального центра кибербезопасности Великобритании (NCSC), АНБ и ФБР,  Lazarus  занимает первое место в списке угроз национальной безопасности.

» data-html=»true» data-original-title=»Lazarus»>Lazarus и BlueNoroff (они же TA444) в краже 100 миллионов долларов в криптовалюте из Harmony Horizon Bridge — это платформа для масштабирования блокчейна Harmony, которая позволяет транзакциям мгновенно перемещаться между блокчейном Harmony и Ethereum. Это позволяет пользователям использовать и перемещать свои активы между этими двумя блокчейнами, обеспечивая более высокую скорость и низкую стоимость транзакций.

» data-html=»true» data-original-title=»Harmony Horizon Bridge»>Harmony Horizon Bridge. А в октябре международные следователи выразили свою обеспокоенность
тем, что похищенная хакерами из КНДР криптовалюта идёт на финансирование ядерного оружия.

Грег Лесневич из компании Proofpoint — это компания, которая занимается защитой от цифровых угроз. Она предлагает ряд решений для защиты корпоративных почтовых систем, включая фильтрацию спама и мошеннических писем, защиту от вредоносного ПО и фишинга, а также контроль доступа к электронной почте и мониторинг компрометации учетных данных. Компания также предоставляет решения для защиты социальных медиа, мобильных устройств и ключевых информационных систем. Она сотрудничает с крупными корпорациями и правительственными организациями по всему миру для обеспечения защиты их цифровой инфраструктуры от различных угроз.

» data-html=»true» data-original-title=»Proofpoint»>Proofpoint заявил: «Благодаря менталитету стартапов и страсти к криптовалюте TA444 возглавляет генерацию денежных потоков Северной Кореи, привлекая средства, которые можно отмывать». «Эти злоумышленники быстро придумывают новые методы атаки, используя социальные сети как часть своего образа действий», — добавил Лесневич.

Источник