Kaspersky, et cybersikkerhedslaboratorium, slår alarm over BlueNoroff-gruppens fornyede phishing-taktik. Hackerne er sponsoreret af Nordkorea, som er økonomisk motiveret til at drage fordel af deres cyberangreb mod finansielle virksomheder, herunder krypto-enheder.
BlueNoroff har skabt over 70 falske domæner, der efterligner venturekapital virksomheder og banker. De fleste af bedragerne præsenterede sig som kendte japanske virksomheder. Alligevel hævdede nogle at være fra USA og Vietnam.
BlueNoroff-gruppen injicerer ofte malware gennem word-dokumenter og genvejsfiler. Deres seneste malware kan unddrage sig Mark-of-the-Web (MOTW) flaget.
Kaspersky-rapporten afslørede, at BlueNoroff-gruppen eksperimenterer med nye typer filer og andre malware-distributionsmetoder.
Når den er installeret, omgår dens malware Windows' MOTW-sikkerhedsadvarsler om download af indhold. Derefter opsnapper virussen store cryptocurrency overførsler, ændring af modtagerens tegnebogsadresse og forøgelse af overførselsbeløbet til den maksimale grænse, hvilket dræner kontoen i en enkelt transaktion.
Seongsu Park, en Kaspersky-forsker, bemærkede stigningen i cyberangreb, der går ind i 2023. Park understregede behovet for, at virksomheder er mere sikre end nogensinde, efterhånden som nye ondsindede kampagner dukker op.
Nordkoreanske hackers pres på sikkerheden
Nordkoreansk trussel skuespiller ramte første gang en bangladeshisk centralbank i 2016 og har været på radaren af de amerikanske cybersikkerhedstjenester i lande.
United States Federal Bureau of Investigation (FBI) rådede i samarbejde med Cybersecurity and Infrastructure Security Agency (CISA) alle amerikansk-baserede cryptocurrency-virksomheder til at styrke deres sikkerhedsarkitektur mod potentielle angribere fra nordkoreanske hackere.
En Group-IB ber sikkerhedsrapport for nylig afslørede at der siden 2017 er blevet stjålet over 882 millioner dollars fra kryptobørser af den statssponsorerede Lazarus-gruppe.
Gruppen er angiveligt ansvarlig for 600 millioner dollars Ronin Bridge-udnyttelsen i marts og blev for nylig opdaget at bruge over 500 domæner til at forsøge tyveri af ikke-fungible tokens (NFT).
Desværre er kryptoudvekslinger ikke de eneste ofre for disse koreanske hackere. Group-IB-rapporten afslørede også, at over 10 % af midlerne fra ICO-kampagner var blevet stjålet siden 2017.
En del af en større operation?
Værelse 39, er en hemmelighedsfuld organisation inden for den nordkoreanske regering, der er ansvarlig for at generere udenlandsk valuta fra ulovlige kilder til landet. Der er dokumentation for, at det er involveret i en række ulovlige aktiviteter, herunder varemærkeforfalskning og narkotikahandel, samt andre ulovlige forehavender som f.eks. våbensalg og hacking.
Nordkoreanske afhoppere siger, at det drives fra en bygning i hovedstaden Pyongyang og siges at være ledet af medlemmer af Kim-familien, som har haft magten i Nordkorea i tre generationer.
Den nøjagtige karakter og omfanget af Room 39's aktiviteter er omgærdet af mystik, da det fungerer i hemmelighed på grund af den ulovlige karakter af operationerne. Det er sandsynligvis en vigtig finansieringskilde for det nordkoreanske diktatur og menes at være ansvarlig for at generere hundredvis af millioner af dollars i mørke penge hvert år.
Organisationen menes at have omfattende internationale forbindelser, og kan eksportere slavearbejde til europæiske nationer for at drage fordel af de højere lønomkostninger i EU sammenlignet med Østasien.
Nordkorea har længe været under amerikansk ledede sanktioner, hvilket lægger pres på landets adgang til valutareserver. Ved at beskæftige sig med ulovlige, kontantbaserede virksomheder er nationen i stand til at få adgang til likvide midler, hvilket kan være grunden til, at nordkoreanske hackere leder efter mere krypto i øjeblikket.
Endnu en travlhed for Nordkorea
Det er umuligt at vide, om Room 39 står bag de igangværende hacks, men Nordkorea er kendt for lyssky forretninger der rejser likvide aktiver. En anden langvarig ulovlig forretning for Nordkorea er fremstilling og eksport af metamfetamin, som en afhopper fra nationen hævder var udført under direkte ordrer af Kim Jong-il.
Meth bruges i vid udstrækning af lokalbefolkningen. Efter nogle skøn så meget som halvdelen af Nordkoreas befolkning bruger stoffet, som også eksporteres i store mængder. Nabolande som Kina er de bedste eksportmarkeder, men andre nationer som USA har opsnappet nordkoreanske meth-forsendelser.
Ligesom krypto-hacks, nyder ulovlige virksomheder som meth-produktion sandsynligvis nordkoreansk statssponsorering, hvilket gør det sandsynligt, at de vil fortsætte uhindret.
Kilde: https://crypto.news/kaspersky-north-korean-hackers-mimic-crypto-vcs-in-new-phishing-scheme/