Nordkorea-tilknyttede Lazarus Group poserer som VC-virksomheder for at sprede malware

BlueNoroff - navnet givet af sikkerhedsforskere til en gruppe forbundet med det nordkoreanske statssponsorerede hackerkollektiv Lazarus Group - har udvidet sine kriminelle aktiviteter til at omfatte at udgive sig for at være venturekapitalister, der ønsker at investere i krypto-startups, ifølge en ny indberette fra cybersikkerhedsfirmaet Kaspersky.

"BlueNoroff skabte adskillige falske domæner, der efterlignede venturekapitalselskaber og banker," siger Kaspersky.

I sin rapport siger Kaspersky, at det har opdaget globale angreb fra BlueNoroff rettet mod cryptocurrency startups i Januar 2022, men siger, at der var en pause i aktiviteten indtil efteråret.

Ifølge Kaspersky bruger BlueNoroff malware til at angribe organisationer, der beskæftiger sig med smarte kontrakter, DeFi, Blockchain og FinTech-industrien. Kaspersky siger, at BlueNoroff også bruger software til at omgå Mark-of-the-Web (MOTW) teknologi, som sikrer, at en besked fra Windows dukker op for at advare brugere, når de forsøger at åbne en fil, der er downloadet fra internettet.

At stjæle kryptovaluta har været en profitabel forretning for nordkoreanske hackere. Siden 2017, over $ 1.2 milliarder i kryptovaluta er blevet plyndret, ifølge data fra Sydkoreanske spionagenturer. I 2022 blev flere højtprofilerede virksomheder, herunder FTX, ramt af cyberangreb.

Et forræderisk fald

In august, sendte gruppen jobtilbud til kandidater på LinkedIn for en stilling som ingeniørchef hos kryptovalutabørsen Coinbase.

I september målrettede Lazarus-gruppen Coinbase og Crypto.com jobsøgende i to separate phishing-angreb. Et malwareangreb tilskyndede jobsøgende til at downloade et PDF-dokument, der viser de ledige stillinger på Crypto.com. Når den er downloadet, vil PDF'en installere en trojansk hest og stjæle personlige og økonomiske oplysninger.

I oktober brugte cyberkriminelle en udnyttelse i Binance Smart kæde at klare sig med over 100 millioner dollars i kryptovaluta.

Den 11. november 2022, den dag FTX indgav kapitel 11 konkursbeskyttelse, begyndte en ukendt skuespiller at suge fonde fra FTX-punge til en værdi af $640 millioner i tokens.

Hundredvis af millioner af dollars flyder nu ud af FTX-tegnebøger, nogle spekulerer i likvidatorer, men det er sent på en fredag aften, ikke typiske tidspunkter for så hurtige tunge bevægelser. Nogle udbetalinger bliver skiftet fra Tether til DAI. Hack eller insiderhandlinger? 26 millioner dollars her pic.twitter.com/8wWlaE7na9
- foobar (@ 0xfoobar) November 12, 2022

Mens historien om Sam Bankman-Frieds og FTX's fald har overtaget overskrifterne, har truslen fra cyberkriminelle aldrig lagt sig.

Kaspersky anerkendte en anmodning om kommentar fra Dekryptér men var ikke i stand til at give et svar før offentliggørelsen.

Hold dig opdateret med kryptonyheder, få daglige opdateringer i din indbakke.

Kilde: https://decrypt.co/118031/north-korea-linked-lazarus-group-poses-as-vc-firms-to-spread-malware