BlueNoroff, część sponsorowanej przez państwo północnokoreańskiej grupy Lazarus, odnowiła swoje ukierunkowanie na firmy venture capital, start-upy kryptograficzne i banki. Laboratorium cyberbezpieczeństwa Kaspersky zgłaszane że grupa wykazała wzrost aktywności po przerwie trwającej przez większą część roku i testuje nowe metody dostarczania swojego złośliwego oprogramowania.
BlueNoroff stworzył ponad 70 fałszywych domen, które naśladują firmy venture capital i banki. Większość podróbek przedstawiała się jako znane firmy japońskie, ale niektóre podszywały się również pod firmy amerykańskie i wietnamskie.
BlueNoroff wprowadza nowe metody omijające MoTWhttps://t.co/C6q0l1mWqo
— Pentesting News (@PentestingN) 27 grudnia 2022 r.
Według raportu grupa eksperymentuje z nowymi typami plików i innymi metodami dostarczania złośliwego oprogramowania. Po zainstalowaniu złośliwe oprogramowanie omija ostrzeżenia bezpieczeństwa Windows Mark-of-the-Web dotyczące pobierania treści, a następnie „przechwytuje duże transfery kryptowalut, zmienia adres odbiorcy i przesuwa kwotę przelewu do limitu, zasadniczo opróżniając konto w jedną transakcję”.
Związane z: Północnokoreański Lazarus stojący za latami włamań do kryptowalut w Japonii — policja
Zdaniem firmy Kaspersky problem z aktorami stanowiącymi zagrożenie nasila się. Badacz Seongsu Park powiedziany w oświadczeniu:
„Nadchodzący rok będzie naznaczony cyberepidemią o największym wpływie, której siła nigdy wcześniej nie była widziana. […] Na progu nowych złośliwych kampanii firmy muszą być bardziej bezpieczne niż kiedykolwiek.”
Podgrupa BlueNoroff należąca do Lazarusa została po raz pierwszy zidentyfikowana po ataku na bank centralny Bangladeszu w 2016 roku. Była to grupa północnokoreańskich cyberzagrożeń, amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury oraz Federalne Biuro Śledcze wymienione w wydanym ostrzeżeniu w kwietniu.
Północnokoreańscy cyberprzestępcy powiązani z grupą Lazarus byli przyłapany na próbie kradzieży niewymienne tokeny również w ostatnich tygodniach. Grupa był odpowiedzialny za 600 milionów dolarów Exploit Ronin Bridge w marcu.
Źródło: https://cointelegraph.com/news/north-korean-hackers-are-pretending-to-be-crypto-vcs-in-new-phishing-scheme-kaspersky