Ein bisher unbekannter, finanziell motivierter, staatlich gesponserter nordkoreanischer Bedrohungsakteur wurde dabei beobachtet, wie er mehrere Infektionsmethoden in freier Wildbahn testete und dabei eine „Startup“-Kultur-Mentalität an den Tag legte.
Die Erkenntnisse stammen von Sicherheitsforschern bei Proofpoint, die die Gruppe TA444 nennen und sagen, dass sie in ihrer aktuellen Form seit mindestens 2017 aktiv ist und Kryptowährungsbörsen angreift.
Laut einem heute veröffentlichten Advisory hat die Gruppe dann Ende 2022 eine Emporkömmlingsmentalität angenommen.
„Genauso überraschend wie die unterschiedlichen Übertragungsmethoden ist das Fehlen einer konsistenten Nutzlast am Ende der Übertragungsketten“, heißt es in dem Advisory des leitenden Bedrohungsforschers Greg Lesnewich und des Bedrohungsforschungsteams von Proofpoint.
„Wenn andere finanziell orientierte Bedrohungsakteure Liefermethoden testen, neigen sie dazu, ihre traditionellen Nutzlasten zu laden; dies ist bei TA444 nicht der Fall. Dies deutet darauf hin […] dass es neben den TA444-Betreibern ein eingebettetes oder zumindest ein engagiertes Element zur Entwicklung von Malware gibt.“
Darüber hinaus hat Proofpoint nach eigenen Angaben eine umfassende Marketingstrategie festgestellt, die von TA444 entwickelt wurde, um das Potenzial für jährlich wiederkehrende Einnahmen (ARR) zu erhöhen.
„Alles beginnt mit der Erstellung von Köderinhalten, die für die Zielgruppe von Interesse oder Notwendigkeit sind. Dazu können Analysen von Kryptowährungs-Blockchains, Jobangebote bei renommierten Unternehmen oder Gehaltsanpassungen gehören.“
In Bezug auf die bei den Angriffen verwendeten Tools schrieb Lesnewich, dass TA444 „eine beeindruckende Reihe von Hintertüren nach der Ausbeutung in seiner Geschichte verwendet hat.“
Die Liste umfasst msoRAT, Cardinal, die Rantankba-Suite, Cheesetray und Dyepack sowie passive Backdoors, virtualisierte Listener und Browser-Erweiterungen, die den Diebstahl erleichtern.
„Auch wenn wir uns über seine breit angelegten Kampagnen und die einfache Clusterbildung lustig machen, ist TA444 ein kluger und fähiger Angreifer, der bereit und in der Lage ist, seine Opfer um Hunderte von Millionen Dollar zu betrügen“, schrieb Proofpoint.
„TA444 und verwandte Cluster haben Schätzungen zufolge fast 400 Millionen Dollar gestohlen. […] im Wert von Kryptowährungen und damit verbundenen Vermögenswerten im Jahr 2021 gestohlen. Im Jahr 2022 übertraf die Gruppe diesen Wert in einem einzigen Raubüberfall im Wert von über 500 Millionen Dollar und sammelte im Laufe des Jahres 2022 mehr als 1 Milliarde Dollar.“
Der Proofpoint-Bericht kommt Tage, nachdem das US Federal Bureau of Investigation (FBI) bestätigt hat, dass die nordkoreanische Lazarus Group hinter dem 100-Millionen-Dollar-Diebstahl bei der Kryptowährungsfirma Harmony steckt.
Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com
Yahoo überholt DHL als meist imitierte Marke in Q4 2022