Kaspersky, laboratorium cyberbezpieczeństwa, podnosi alarm w związku z nową taktyką phishingową stosowaną przez grupę BlueNoroff. Hakerzy są sponsorowani przez Koreę Północną, która jest finansowo zmotywowana do czerpania korzyści ze swoich cyberataków na firmy finansowe, w tym podmioty kryptograficzne.
BlueNoroff stworzył ponad 70 fałszywych domen, które imitują venture capital firmy i banki. Większość oszustów przedstawiała się jako znane japońskie firmy. Mimo to niektórzy twierdzili, że pochodzą ze Stanów Zjednoczonych i Wietnamu.
Grupa BlueNoroff często wstrzykuje złośliwe oprogramowanie za pośrednictwem dokumentów tekstowych i plików skrótów. Ich najnowsze złośliwe oprogramowanie może ominąć flagę Mark-of-the-Web (MOTW).
Raport firmy Kaspersky ujawnił, że grupa BlueNoroff eksperymentuje z nowymi rodzajami plików i innymi metodami dystrybucji szkodliwego oprogramowania.
Po zainstalowaniu jego złośliwe oprogramowanie omija ostrzeżenia bezpieczeństwa MOTW systemu Windows dotyczące pobierania treści. Po tym wirus przechwytuje duże kryptowaluta przelewy, zmiana adresu portfela odbiorcy i zwiększenie kwoty przelewu do maksymalnego limitu, opróżnienie konta w jednej transakcji.
Seongsu Park, badacz z firmy Kaspersky, zauważył gwałtowny wzrost liczby cyberataków w 2023 r. Park podkreślił potrzebę zapewnienia firmom większego bezpieczeństwa niż kiedykolwiek w związku z pojawieniem się nowych złośliwych kampanii.
Presja północnokoreańskich hakerów na bezpieczeństwo
Połączenia Zagrożenie ze strony Korei Północnej aktor po raz pierwszy uderzył w bank centralny Bangladeszu w 2016 roku i był na radarze amerykańskich służb bezpieczeństwa cybernetycznego krajów.
Federalne Biuro Śledcze Stanów Zjednoczonych (FBI) we współpracy z Agencją Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) doradziło wszystkim amerykańskim firmom kryptowalutowym, aby wzmocniły swoją architekturę bezpieczeństwa przed potencjalnymi atakami hakerów z Korei Północnej.
Niedawny raport bezpieczeństwa Group-IB ujawnił że od 2017 roku sponsorowana przez państwo grupa Lazarus z giełd kryptograficznych ukradła ponad 882 miliony dolarów.
Grupa jest rzekomo odpowiedzialna za exploit Ronin Bridge o wartości 600 milionów dolarów w marcu, a ostatnio została zauważona jako wykorzystująca ponad 500 domen do próby kradzieży niezamiennych tokenów (NFT).
Niestety giełdy kryptowalut nie są jedynymi ofiarami tych koreańskich hakerów. Raport Group-IB ujawnił również, że od 10 roku skradziono ponad 2017% środków z kampanii pierwszej oferty (ICO).
Część większej operacji?
Pokój 39, to a tajna organizacja w rządzie Korei Północnej, który jest odpowiedzialny za generowanie obcej waluty z nielegalnych źródeł dla tego kraju. Istnieją dowody na to, że jest zaangażowana w szereg nielegalnych działań, w tym podrabianie i handel narkotykami, a także w inne nielegalne przedsięwzięcia, takie jak sprzedaż broni i hakowanie.
Północnokoreańscy uciekinierzy twierdzą, że jest obsługiwany z budynku w stolicy Pjongjangu i podobno jest kierowany przez członków rodziny Kim, którzy sprawują władzę w Korei Północnej od trzech pokoleń.
Dokładny charakter i zakres działalności Pokoju 39 owiane są tajemnicą, ponieważ ze względu na nielegalny charakter operacji działa on w tajemnicy. Jest to prawdopodobnie kluczowe źródło finansowania dyktatury Korei Północnej i uważa się, że jest odpowiedzialne za generowanie setek milionów dolarów w ciemnych pieniądzach każdego roku.
Uważa się, że organizacja ma rozległe powiązania międzynarodowe i może eksportować niewolniczą siłę roboczą do krajów europejskich, aby skorzystać z wyższych kosztów pracy w UE w porównaniu z Azją Wschodnią.
Korea Północna od dawna podlega sankcjom kierowanym przez Stany Zjednoczone, co wywiera presję na jej dostęp do rezerw walutowych. Mając do czynienia z nielegalnymi biznesami opartymi na gotówce, naród ma dostęp do płynnych funduszy i być może dlatego północnokoreańscy hakerzy szukają obecnie większej ilości kryptowalut.
Kolejny atak na Koreę Północną
Nie można stwierdzić, czy za trwającymi atakami hakerskimi stoi Pokój 39, ale znana jest Korea Północna podejrzane interesy które gromadzą aktywa płynne. Innym nielegalnym biznesem Korei Północnej, trwającym od dawna, jest produkcja i eksport metamfetaminy, która według uciekiniera z tego kraju była wykonane na bezpośrednie polecenie Kim Dzong Ila.
Metamfetamina jest szeroko stosowana przez miejscową ludność. Według niektórych szacunków nawet połowa populacji Korei Północnej używa narkotyku, który jest również eksportowany w dużych ilościach. Sąsiadujące kraje, takie jak Chiny, są głównymi rynkami eksportowymi, ale inne kraje, takie jak Stany Zjednoczone, przechwyciły północnokoreańskie dostawy metamfetaminy.
Podobnie jak w przypadku hacków kryptograficznych, nielegalne firmy, takie jak produkcja metamfetaminy, prawdopodobnie cieszą się sponsoringiem ze strony państwa północnokoreańskiego, co sprawia, że prawdopodobnie będą kontynuowane bez przeszkód.
Źródło: https://crypto.news/kaspersky-north-korean-hackers-mimic-crypto-vcs-in-new-phishing-scheme/