I ricercatori di Proofpoint hanno effettuato un’analisi approfondita su TA444, uno dei gruppi di minacce attualmente più rilevanti in ambito finance. TA444 opera a fianco del regime della Corea del Nord sfruttando le criptovalute con un approccio manageriale e intraprendenza da startup. Questo gruppo di minacce APT, che si sovrappone alle attività pubbliche denominate APT38, Bluenoroff, BlackAlicanto, Stardust Chollima e COPERNICIUM, ha probabilmente il compito di generare entrate per il regime nordcoreano. Se in passato ha spesso preso di mira le banche, più di recente ha rivolto la sua attenzione alle criptovalute.
Norton: maggiore sicurezza per i dispositivi e VPN per la privacy online
La storia della startup TA444, grande minaccia in ambito finance
Ai tempi del suo interesse iniziale per blockchain e criptovalute, TA444 aveva due vie principali di accesso:
una delivery chain LNK-oriented e una che si avvaleva di documenti che utilizzavano modelli remoti. Nel
2022, il gruppo ha continuato a usare entrambi i metodi, ma si è cimentato anche con altri tipi di file,
cercando di variare il vettore dei propri payload. Per convincere le vittime a cliccare sui link malevoli e aumentare le possibilità di ottenere nuove entrate ricorrenti, TA444 ha elaborato una strategia di marketing completa, che inizia con la creazione di contenuti di richiamo, tra cui analisi di blockchain di criptovalute, opportunità di lavoro presso aziende prestigiose o adeguamenti salariali.
Il gruppo ha utilizzato strumenti di email marketing come SendInBlue e SendGrid per coinvolgere il suo
pubblico di riferimento e reindirizzarlo verso file ospitati nel cloud o direttamente all’infrastruttura di
TA444. L’uso di questi link ne favorisce l’apertura in quanto contenuti marketing non vengono
necessariamente segnalati nel corso delle attività di formazione sul phishing. C’è poi una componente social molto intensa da parte di TA444 che utilizza LinkedIn per coinvolgere le vittime prima di fornire il link al malware.
All’inizio di dicembre 2022, i ricercatori di Proofpoint hanno osservato un cambiamento significativo dalle
normali operazioni di TA444 attraverso una campagna di raccolta di credenziali relativamente semplice. Un dominio C2 di TA444 ha inviato email di phishing OneDrive piene di errori di battitura a un’ampia varietà di obiettivi negli Stati Uniti e in Canada nei settori dell’istruzione, della PA e della sanità, oltre al finance. Le email invogliavano gli utenti a cliccare su un URL di SendGrid che reindirizzava a una pagina di raccolta di credenziali. La deviazione nel targeting di TA444 e il volume dei messaggi hanno spinto i ricercatori ad analizzare a fondo la campagna per comprendere l’attività, ma anche per mettere in discussione le nostre ipotesi sul gruppo. Questa ondata di spam da sola ha quasi raddoppiato il volume totale di messaggi email di TA444 che avevamo osservato nel 2022.
Le linee di produzione principale di TA444
Sebbene la startup TA444 abbia sperimentato nuove linee di produzione, sono ancora le sue famiglie principali a sostenere il maggior peso delle infezioni. La famiglia CageyChameleon (alias CabbageRAT) ha ampliato le sue funzionalità, ma opera ancora come framework per profilare le vittime, esfiltrare i processi in esecuzione e le informazioni sull’host, impostando il potenziale per il lancio di successivi strumenti caricati dal server di comando e controllo. Allo stesso modo, TA444 ha mantenuto le sue implementazioni infrastrutturali e il contenuto dei documenti, riutilizzando efficacemente l’iconografia dell’esca nei file carichi di macro del secondo stadio e prendendo in prestito il contenuto direttamente dalle entità di cui sta mimando comunicazioni e comportamenti.
I file modello remoti del primo stadio si sono adattati non solo per scaricare la macro del secondo stadio, rintracciata come Astraeus da Proofpoint, ma il primo stadio contiene ora una backdoor cardinale offuscata, come rilevato da PWC e Kaspersky. In conclusione, TA444 è un avversario astuto e capace, determinato e in grado di frodare le vittime per centinaia di milioni di dollari. Si stima che abbia rubato quasi 400 milioni di dollari di criptovalute e beni correlati nel 2021, mentre nel 2022 ha superato questo valore con un singolo furto da oltre 500 milioni di dollari, raccogliendo più di 1 miliardo di dollari nel corso dell’anno. Per tutte le informazioni sull’analisi dei ricercatori Proofpoint è possibile consultare il sito ufficiale.
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techbusiness
📈 SAP NOW 2024 l'intelligenza artificiale per il business conquista Milano💸 Come calcolare il ritorno sugli investimenti nell’Intelligenza Artificiale
👨⚖️ Direttiva NIS2 e cybersecurity nelle PMI italiane obblighi e opportunità
🔫 Metà degli attacchi informatici in Italia prende di mira le supply chain
📰 Ma lo sai che abbiamo un sacco di newsletter?
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!