27 grudnia Kaspersky Lab ogłosił, że północnokoreańska grupa hakerska „BlueNoroff” ukradła miliony dolarów w kryptowalutach po utworzeniu ponad 70 fałszywych domen i podszywaniu się pod banki i firmy venture capital.
Według śledztwo, większość domen naśladowała japońskie firmy venture capital, co wskazuje na duże zainteresowanie danymi użytkowników i firm w tym kraju.
„Po zbadaniu używanej infrastruktury odkryliśmy ponad 70 domen używanych przez tę grupę, co oznacza, że do niedawna były one bardzo aktywne. Ponadto stworzyli wiele fałszywych domen, które wyglądają jak domeny venture capital i banki.
Grupa Bluenoroff udoskonaliła swoje techniki infekcji
Jeszcze kilka miesięcy temu grupa BlueNoroff używała dokumentów Worda do wstrzykiwania złośliwego oprogramowania. Jednak ostatnio ulepszyli swoje techniki, tworząc nowy plik Windows Batch, który pozwala im rozszerzyć zakres i tryb wykonywania ich złośliwego oprogramowania.
Te nowe pliki .bat omijają środki bezpieczeństwa Windows Mark-of-the-Web (MOTW), ukryte oznaczenie dołączane do plików pobranych z Internetu w celu ochrony użytkowników przed plikami z niezaufanych źródeł.
Po dokładnym dochodzeniu przeprowadzonym pod koniec września firma Kaspersky potwierdziła, że oprócz używania nowych skryptów, grupa BlueNoroff zaczęła wykorzystywać pliki obrazów dysków .iso i .vhd do dystrybucji wirusów.
Kaspersky wykrył również, że użytkownik w Zjednoczonych Emiratach Arabskich padł ofiarą grupy BlueNoroff po pobraniu dokumentu Word o nazwie „Shamjit Client Details Form.doc”, który umożliwił hakerom połączenie się z jego komputerem i wydobycie informacji podczas próby wykonania nawet potężniejsze złośliwe oprogramowanie.
Po zalogowaniu hakerów do komputera „próbowali pobrać od ofiary odcisk palca i zainstalować dodatkowe złośliwe oprogramowanie z wysokimi uprawnieniami”, jednak ofiara wykonała kilka poleceń, aby zebrać podstawowe informacje o systemie, zapobiegając dalszemu rozprzestrzenianiu się złośliwego oprogramowania.
Techniki hakerskie stają się bardziej niebezpieczne
Wierz lub nie, raporty mówią że Korea Północna przewodzi światu pod względem przestępczości kryptograficznej. Raporty twierdzą, że północnokoreańscy hakerzy byli w stanie ukraść kryptowaluty o wartości ponad 1 miliarda dolarów do maja 2022 roku. Jej największa grupa, Lazarus, została wskazana jako odpowiedzialna za główne ataki phishingowe i techniki rozprzestrzeniania złośliwego oprogramowania
Po kradzieży ponad 620 milionów dolarów z Axie Infinity, północnokoreańska grupa hakerska Lazarus, jedna z największych grup hakerskich na świecie, zebrała wystarczająco dużo pieniędzy, aby ulepszyć swoje oprogramowanie do tego stopnia, że stworzyła zaawansowany schemat kryptowaluty poprzez domenę o nazwie bloxholder.com, której używali jako przykrywka do kradzieży kluczy prywatnych wielu ich „klientów”.
As zgłaszane Microsoftu, liczba ataków wymierzonych w organizacje kryptowalutowe w celu uzyskania wyższych nagród wzrosła w ciągu ostatnich kilku lat, więc ataki stały się bardziej złożone niż wcześniej.
Jedną z najnowszych technik wykorzystywanych przez hakerów za pośrednictwem grup Telegram jest wysyłanie zainfekowanych plików udających tabele programu Excel zawierające struktury opłat firm giełdowych jako hak.
Gdy ofiary otworzą pliki, pobierają szereg programów umożliwiających hakerowi zdalny dostęp do zainfekowanego urządzenia, niezależnie od tego, czy jest to urządzenie mobilne, czy komputer.
Binance Free 100 $ (ekskluzywne): Użyj tego linku zarejestrować się i otrzymać 100 $ za darmo i 10% zniżki na opłaty na Binance Futures w pierwszym miesiącu (REGULAMIN).
Oferta specjalna PrimeXBT: Użyj tego linku aby się zarejestrować i wprowadzić kod POTATO50, aby otrzymać do 7,000 $ na swoje depozyty.
Źródło: https://cryptopotato.com/north-korean-hacking-group-steals-millions-posing-as-japanese-vcs-and-banks/