Gen 27, 2023 Dario Orlandi Apt, Attacchi, Minacce, News, RSS 0

I ricercatori di Proofpoint hanno pubblicato un’analisi che approfondisce la storia criminale e le attività del gruppo Apt TA444, che sta lavorando con mentalità imprenditoriale per generare flussi di denaro da destinare al suo state-sponsor, identificato nel regime nordcoreano.

TA444 è un gruppo Advanced Persistent Threat sponsorizzato dalla Corea del Nord che i ricercatori fanno coincidere con le attività pubbliche riconducibili a diverse sigle, tra cui APT38, Bluenoroff, BlackAlicanto, Stardust Chollima e COPERNICIUM.

Il suo compito principale, almeno attualmente, sembra essere quello di generare entrate per il regime nordcoreano. Per questo motivo, in passato ha spesso attaccato le banche e gli istituti finanziari, ma più di recente ha invece rivolto la sua attenzione al settore delle criptovalute.

Greg Lesnewich, Senior Threat Researcher di Proofpoint, ha spiegato: “Con una mentalità da startup e una passione per le criptovalute, TA444 guida la Corea del Nord nella generazione di flussi di denaro per il regime, facendo affluire fondi riciclabili. Questo attore di minacce concepisce rapidamente nuovi metodi di attacco e abbraccia i social media come parte del suo modus operandi”.

Greg Lesnewich, Senior Threat Researcher di Proofpoint

“Nel 2022, TA444 ha portato la sua attenzione sulle criptovalute a un nuovo livello e ha iniziato a imitare l’ecosistema del crimine informatico testando una varietà di catene di infezione per contribuire ad ampliare i propri flussi di entrate”, ha concluso Lesnewich.

Metodologia in evoluzione

Quando ha iniziato a lavorare sulla blockchain e sulle criptovalute, TA444 utilizzava due metodi principali per accedere ai dati delle vittime: una delivery chain LNK-oriented e una basata su documenti che utilizzano modelli remoti.

Lo scorso anno il gruppo ha continuato ad utilizzare entrambi i metodi, ma ha anche ampliato il suo repertorio, cercando di variare il vettore dei propri payload.

Per convincere le vittime a cliccare sui link malevoli, TA444 ha elaborato una strategia di marketing completa, utilizzando strumenti di email marketing per coinvolgere il suo pubblico di riferimento e reindirizzarlo verso file ospitati nel cloud o direttamente nell’infrastruttura gestita dal gruppo.

I ricercatori di Proofpoint hanno però notato un cambiamento significativo nelle abitudini di TA444 a dicembre 2022.

Il gruppo ha lanciato una campagna di raccolta di credenziali estremamente semplice inviando email di phishing OneDrive con molti refusi a una vasta gamma di obiettivi negli Stati Uniti e in Canada nei settori dell’istruzione, della PA e della sanità, nonché nel settore finanziario.

Le email invitavano gli utenti a cliccare su un Url di SendGrid che reindirizzava a una pagina di raccolta di credenziali.

La deviazione del target e il volume dei messaggi hanno spinto i ricercatori ad analizzare la campagna per comprendere le nuove attività del gruppo: questa sola ondata di spam, infatti, ha quasi raddoppiato il volume totale di messaggi email di TA444 osservati nel corso dell’anno.

Le famiglie di malware utilizzate prevalentemente sono CageyChameleon e Astraeus. CageyChameleon è sfruttato per profilare le vittime e esfiltrare informazioni, mentre Astraeus interviene come secondo stadio per scaricare ulteriori strumenti.

TA444 ha anche utilizzato tecniche di mimetizzazione e prende in prestito contenuti dalle vittime per rendere le sue comunicazioni più credibili.

Nel 2021 ha rubato circa 400 milioni di dollari di criptovalute e beni correlati, e nel 2022 ha superato questo valore con un singolo furto da oltre 500 milioni di dollari, raccogliendo più di 1 miliardo di dollari nel corso dell’anno.