Cibergrupo norte-coreano expande métodos de ataque

O cibergrupo norte-coreano seguido como TA444 estará a expandir o seu reportório de ataque ou tem a sua infraestrutura a ser utilizada por outros cibercriminosos. Inicialmente, o cibergrupo focava-se principalmente em criptomoedas.

Num relatório publicado pela Proofpoint, o foco do TA444 era roubar criptomoedas para provavelmente compensar as sanções contra o estado norte-coreano. Em 2022, ainda que utilize esse método, começou a utilizar macros para entregar malware.

Os investigadores explicam que, normalmente, quando os cibergrupos experimentam novos mecanismos de entrega continuam a utilizar as cargas existentes, mas que o mesmo não se passa com o TA444; essa situação sugere “que existe um elemento de desenvolvimento de malware incorporado, ou pelo menos dedicado, ao lado dos operadores do TA444”.

No início de dezembro de 2022, os investigadores observaram uma nova abordagem do TA444 – uma campanha de phishing para recolha de credenciais relativamente básica. Um domínio TA444 C2 começou a distribuir e-mails de phishing do OneDrive “cheios de erros de escrita” para alvos nos EUA e no Canadá. Ainda que a infraestrutura utilizada sugere que tenha sido o TA444, a campanha em si sugere o contrário.