Hoofdbevindingen:
- TA444 is een staatsgesponsorde hackersgroep uit Noord-Korea die in 2022 tal van aanvalsmethoden heeft getest met vlagen van succes.
- TA444 is uniek onder staatsgeleide cybergroepen omdat de belangrijkste aanvallen financieel gemotiveerd zijn. Bovendien maken de aanvallen gebruik van verschillende elementen uit het cybersecurity-landschap.
- Hoewel TA444 in zijn huidige vorm sinds 2017 actief is en zich richt op cryptocurrencies, veranderde de groep eind 2022 van koers.
Overzicht
TA444, een staatsgesponsorde hackersgroep uit Noord-Korea is waarschijnlijk belast met het genereren van inkomsten voor het
Noord-Koreaanse regime. Deze aanvallen overlappen met
APT38,
Bluenoroff,
BlackAlicanto,
Stardust Chollima en
COPERNICIUM. In het verleden waren de pijlen gericht op banken om uiteindelijk geld door te sluizen naar andere delen van het land of handlangers in het buitenland. Recente activiteiten zijn echter gericht op cryptocurrency.
Van ZIP-bestanden naar docx, pptx of xlsx
TA444 gebruikte
in het begin, toen hun interesse in
cryptocurrency nog moest komen, voornamelijk twee aanvalsmethoden: een
LNK-georiënteerde
aanval en een via sjablonen op afstand. Deze aanvallen werden doorgaans aangeduid als
DangerousPassword,
CryptoCore, or
SnatchCrypto. In 2022 bleef TA444 beide methoden gebruiken, maar probeerde ook andere bestandstypen in te zetten om toegang te verkrijgen. TA444 gebruikte bij eerdere aanvallen geen macro's, maar daar kwam uiteindelijk verandering in en het probeerde andere bestandstypen te vinden om zijn payloads in te verstoppen.
Even verrassend als de variatie in aflevermethoden is het ontbreken van een vaste payload. Andere cybergroepen met hetzelfde financiële belang testen gewoonlijk aflevermethoden via hun traditionele payloads; dit is niet het geval bij TA444. Dit wijst erop dat er naast TA444 een ingebouwde, of ten minste een toegewijde, ontwikkelaar voor malware bestaat.
Het inzetten van social media
Om slachtoffers te overtuigen op schadelijke links te klikken, heeft TA444 een complete marketingstrategie om zijn kansen op nieuwe ARR (Annual Recurring Revenue) te vergroten. Het begint allemaal met het creëren van verleidelijke content die interessant of noodzakelijk kan zijn voor het slachtoffer. Dit kunnen analyses zijn van cryptocurrency blockchains, vacatures bij grote bedrijven of berichten over salarisaanpassingen.
Voorbeeld van TA444 e-mail met als thema salarisaanpassing
TA444 gebruikte e-mailmarketingtools zoals SendInBlue en SendGrid om met slachtoffers te communiceren. Deze dienen als omleidingen naar ofwel cloud-hosted bestanden of linken het slachtoffer rechtstreeks naar TA444. Bovendien neemt het gebruik van dergelijke links elk voorbehoud weg om te communiceren op een onbekende link te klikken. Marketinglinks worden meestal niet vermeld in trainingen over phishingpraktijken.
Net als bij andere bedrijven is er bij TA444 iemand die zich bezig houdt met de social media kanalen. Dit is een belangrijk onderdeel van TA444's werkwijze. De groep is LinkedIn gaan gebruiken om in contact te komen met slachtoffers voordat ze links met malware afleveren. Proofpoint heeft gezien dat deze groep het Engels, Spaans, Pools en Japans goed beheerst.
Attributie
Proofpoint groepeert TA444-activiteiten op onder andere type
malware, kenmerken en
type aanval, of er financiële betrekkingen zijn, met de nadruk op
financiële entiteiten, en
welke tools er in de eerste fase worden gebruikt om slachtoffers te misleiden. In het verleden zijn TA444-aanvallen door de Verenigde Staten in verband gebracht met de Noord-Koreaanse regering.
De recente activiteiten van TA444 laten zien hoe bereid de groep is zijn methoden aan te passen om de winst te vergroten.
De nieuwe diensten zullen hen daarbij helpen, zij het onbedoeld.
Conclusie
TA444 en zijn subgroepen hebben naar verluidt in 2021 voor bijna 400 miljoen dollar aan cryptocurrency en verwante middelen gestolen. Het jaar daarop overtrof de groep deze waarde
met slechts één aanval ter waarde van meer dan
500 miljoen dollar. In 2022 werd meer dan
1 miljard dollar buitgemaakt. Noord-Korea heeft, net als andere liefhebbers van cryptocurrency,
de dalende waarde van cryptocurrencies doorstaan, maar blijft vasthouden aan het gebruik van cryptocurrency als middel om het regime van bruikbare fondsen te voorzien.
Het volledige onderzoek is
hier beschikbaar.