BlueNoroff, en del af den nordkoreanske statssponsorerede Lazarus Group, har fornyet sin målretning mod venturekapitalfirmaer, krypto-startups og banker. Cybersikkerhedslaboratoriet Kaspersky rapporteret at gruppen har vist en stigning i aktivitet efter en pause i det meste af året, og den tester nye leveringsmetoder for sin malware.
BlueNoroff har skabt mere end 70 falske domæner, der efterligner venturekapitalfirmaer og banker. De fleste af forfalskninger præsenterede sig selv som velkendte japanske virksomheder, men nogle antog også identiteten af amerikanske og vietnamesiske virksomheder.
BlueNoroff introducerer nye metoder, der går uden om MoTWhttps://t.co/C6q0l1mWqo
— Pentesting News (@PentestingN) 27. December, 2022
Gruppen har eksperimenteret med nye filtyper og andre malware-leveringsmetoder, ifølge rapporten. Når den først er på plads, undgår dens malware Windows Mark-of-the-Web sikkerhedsadvarsler om download af indhold og fortsætter derefter med at "opsnappe store kryptovalutaoverførsler, ændre modtagerens adresse og skubbe overførselsbeløbet til grænsen, hvilket i det væsentlige dræner kontoen i en enkelt transaktion."
Relateret: Nordkoreas Lazarus bag mange års kryptohack i Japan — Politi
Ifølge Kaspersky forværres problemet med trusselsaktører. Forsker Seongsu Park sagde i en erklæring:
”Det kommende år vil være præget af de cyberepidemier med den største indvirkning, hvis styrke aldrig er set før. […] På tærsklen til nye ondsindede kampagner skal virksomheder være mere sikre end nogensinde.
BlueNoroff-undergruppen af Lazarus blev først identificeret, efter den angreb den bangladeshiske centralbank i 2016. Den var blandt en gruppe nordkoreanske cybertrusler, det amerikanske cybersikkerheds- og infrastruktursikkerhedsagentur og det føderale efterforskningsbureau nævnt i en udstedt advarsel i april.
Nordkoreanske trusselsaktører tilknyttet Lazarus-gruppen har været set forsøge at stjæle ikke-fungible tokens også i de seneste uger. Gruppen var ansvarlig for de 600 mio Ronin Bridge udnyttelse i marts.
Kilde: https://cointelegraph.com/news/north-korean-hackers-are-pretending-to-be-crypto-vcs-in-new-phishing-scheme-kaspersky