BlueNoroff, parte a Grupului Lazarus, sponsorizat de statul nord-coreean, și-a reînnoit direcționarea către firmele de capital de risc, startup-urile cripto și băncile. Laborator de securitate cibernetică Kaspersky raportate că grupul a înregistrat o creștere a activității după o pauză pentru cea mai mare parte a anului și testează noi metode de livrare pentru malware-ul său.
BlueNoroff a creat peste 70 de domenii false care imită firmele de capital de risc și băncile. Majoritatea falsurilor s-au prezentat drept companii japoneze binecunoscute, dar unele și-au asumat și identitatea companiilor din Statele Unite și Vietnam.
BlueNoroff introduce noi metode care ocolesc MoTWhttps://t.co/C6q0l1mWqo
— Pentesting News (@PentestingN) December 27, 2022
Potrivit raportului, grupul a experimentat noi tipuri de fișiere și alte metode de livrare a programelor malware. Odată instalat, malware-ul său eludează avertismentele de securitate Windows Mark-of-the-Web cu privire la descărcarea de conținut și apoi continuă „interceptând transferuri mari de criptomonede, schimbând adresa destinatarului și împingând suma de transfer la limită, în esență epuizând contul în o singură tranzacție.”
Related: Lazarus din Coreea de Nord în spatele anilor de hack-uri criptografici în Japonia - Poliție
Potrivit Kaspersky, problema cu actorii amenințărilor se înrăutățește. Cercetător Parcul Seongsu a spus într-o declarație:
„Anul care vine va fi marcat de epidemiile cibernetice cu cel mai mare impact, a căror putere nu a mai fost văzută până acum. […] În pragul noilor campanii rău intenționate, afacerile trebuie să fie mai sigure ca niciodată.”
Subgrupul BlueNoroff al lui Lazarus a fost identificat pentru prima dată după ce a atacat banca centrală din Bangladesh în 2016. A fost printre un grup de amenințări cibernetice nord-coreene, Agenția de Securitate Cibernetică și Securitate a Infrastructurii din SUA și Biroul Federal de Investigații. mentionate intr-o alerta emisa în luna aprilie.
Actorii nord-coreeni de amenințare asociați cu Grupul Lazăr au fost văzut încercând să fure jetoane nefungibile și în ultimele săptămâni. Grupul a fost responsabil pentru cei 600 de milioane de dolari Ronin Bridge exploatează în martie.
Sursa: https://cointelegraph.com/news/north-korean-hackers-are-pretending-to-be-crypto-vcs-in-new-phishing-scheme-kaspersky