北韓新一波駭客手法 轉向「憑證竊取」攻擊

編譯／李寓心

過去因受到聯合國制裁和COVID-19疫情影響，北韓駭客組織轉向加密貨幣和其他非法網路活動，作為緊急資金來源。近期發現北韓的進階持續性滲透攻擊（APT），已經從初期入侵，進入「竊取憑證（Credential Harvesting）階段，意味著北韓內部的戰略部署，可能發生重大轉變。

據報導，位於美國加州的企業安全公司Proofpoint正在追蹤由北韓政府資助的高級駭客組織「TA444」，該組織早在2017年就開始瞄準加密貨幣，與APT38、BlueNoroff、Copernicium和Stardust Chollima可能來自同個網路安全社區。

從Proofpoint公司的一份報告中表示，TA444正在利用更廣泛的交付方法、區塊鏈有關的誘餌及假借知名公司的工作機會誘捕受害者。去年12月上旬還發現，該組織透過網路釣魚消息，針對特定「垂直市場」產業的公司，包括美國和加拿大的教育、政府和醫療保健機構等，進行竊取憑證的惡意攻擊，促使收件人點擊而重新導向憑證收集頁面的網址。

Proofpoint公司指出：「2022年TA444駭客組織對加密貨幣的關注，已經提升到一個新階段，並透過測試各種感染鏈來幫助擴大其收入來源，從而開始模仿網路犯罪生態系統。」例如美國聯邦調查局（FBI）指控BlueNoroff，去年6月從Harmony Horizon Bridge竊取了價值1億美元的加密貨幣。

該公司的Greg Lesnewich也對此表示，TA444利用現代人們對創業和加密貨幣的熱情，透過引入可洗錢的資金，替北韓政府創造現金流。而威脅行為者構思出新的攻擊方法，同時也作為社交媒體作案手法的一部分，持續為北韓政府提供可用的資金來源。

資料來源：The Hacker News

瀏覽 524 次