
Un groupe d’États-nations nord-coréen connu pour ses cambriolages cryptographiques a été attribué à une nouvelle vague d’attaques malveillantes par e-mail dans le cadre d’une activité « tentaculaire » de collecte d’informations d’identification ciblant un certain nombre de secteurs verticaux de l’industrie, marquant un changement significatif dans sa stratégie.
L’acteur menaçant aligné sur l’État est suivi par Proofpoint sous le nom de TA444, et par la communauté de la cybersécurité au sens large sous le nom d’APT38, BlueNoroff, Copernicium et Stardust Chollima.
TA444 « utilise une plus grande variété de méthodes de livraison et de charges utiles parallèlement aux leurres liés à la blockchain, aux fausses opportunités d’emploi dans des entreprises prestigieuses et aux ajustements de salaire pour piéger les victimes », a déclaré la société de sécurité d’entreprise dans un rapport partagé avec breachtrace.
La menace persistante avancée est en quelque sorte une aberration parmi les groupes parrainés par l’État dans la mesure où ses opérations sont motivées financièrement et orientées vers la génération de revenus illicites pour le Royaume Ermite.
À cette fin, les attaques utilisent des e-mails de phishing, généralement adaptés aux intérêts de la victime, qui sont chargés de pièces jointes contenant des logiciels malveillants tels que des fichiers LNK et des images de disque optique ISO pour déclencher la chaîne d’infection.
Parmi d’autres tactiques, citons l’utilisation de comptes LinkedIn compromis appartenant à des dirigeants d’entreprise légitimes pour approcher et interagir avec des cibles avant de fournir des liens piégés.
Cependant, des campagnes plus récentes au début de décembre 2022 ont été témoins d’une « déviation significative », dans laquelle les messages de phishing ont incité les destinataires à cliquer sur une URL redirigée vers une page de collecte d’informations d’identification.
L’explosion d’e-mails ciblait plusieurs secteurs verticaux autres que le secteur financier, notamment l’éducation, le gouvernement et les soins de santé, aux États-Unis et au Canada.
Mis à part l’expérimentation, TA444 a également été observé en train d’étendre les fonctionnalités de CageyChameleon (alias CabbageRAT) pour faciliter davantage le profilage des victimes, tout en maintenant un large arsenal d’outils de post-exploitation pour faciliter le vol.
« En 2022, TA444 a porté son attention sur les crypto-monnaies à un nouveau niveau et a commencé à imiter l’écosystème de la cybercriminalité en testant une variété de chaînes d’infection pour aider à étendre ses sources de revenus », a déclaré Proofpoint.
Les conclusions interviennent alors que le Federal Bureau of Investigation (FBI) des États-Unis a accusé les acteurs de BlueNoroff d’avoir volé 100 millions de dollars en crypto volés au pont Harmony Horizon en juin 2022.
« Avec une mentalité de startup et une passion pour la crypto-monnaie, TA444 est le fer de lance de la génération de flux de trésorerie nord-coréens pour le régime en apportant des fonds lavables », a déclaré Greg Lesnewich de Proofpoint. « Cet acteur de la menace imagine rapidement de nouvelles méthodes d’attaque tout en adoptant les médias sociaux dans le cadre de leur [modus operandi]. »
Le groupe « reste engagé dans ses efforts pour utiliser la crypto-monnaie comme moyen de fournir des fonds utilisables au régime », a ajouté la société.