文/李建興 | 2023-01-26
資安公司Proofpoint調查由北韓政府資助的駭客團體TA444近期活動,從2017年開始,TA444積極竊取加密貨幣資產,並且在2022年嘗試更多種攻擊手法,至今已成功盜走十多億美元。研究人員提到,該團體的犯案動機主要是金錢利益,而且其感染鏈之多樣,可說是整個網路犯罪威脅場域的縮影。
根據Proofpoint的調查,TA444是北韓駭客團體,活動範圍與APT38、Bluenoroff、BlackAlicanto、Stardust Chollima和Copernicium等團體高度重疊,任務是替北韓政府賺錢,過去的目標通常是銀行,並將竊取來的金錢送入北韓或是交由國外的處理人員。這系列針對加密貨幣的行動,Proofpoint透過辨識TA444專屬的基礎設施來鎖定該團體。
TA444竊取加密貨幣的活動主要有兩條攻擊鏈,一條是LNK導向的交付鏈,另一條是遠端模板文件的攻擊鏈,這種攻擊手法通常被稱為DangerousPassword、CryptoCore或SnatchCrypto。相較於其他攻擊者,TA444有何不同?傳統金錢利益導向的攻擊者,通常傾向使用一致的攻擊負載(Payload),TA444卻非如此,研究人員認為TA444有個專責團隊負責開發攻擊工具。
