BlueNoroff, частина спонсорованої державою Північної Кореї групи Lazarus, відновила націлювання на компанії венчурного капіталу, криптостартапи та банки. Лабораторія кібербезпеки Касперського повідомляє що група показала сплеск активності після затишшя протягом більшої частини року, і вона тестує нові методи доставки для свого шкідливого програмного забезпечення.
BlueNoroff створив понад 70 фальшивих доменів, які імітують компанії венчурного капіталу та банки. Більшість фейків представляли себе як відомі японські компанії, але деякі також видавали себе за американські та в’єтнамські компанії.
BlueNoroff представляє нові методи в обхід MoTWhttps://t.co/C6q0l1mWqo
— Новини Pentesting (@PentestingN) 27 Грудня, 2022
Відповідно до звіту, група експериментувала з новими типами файлів та іншими методами доставки зловмисного програмного забезпечення. Потрапивши на місце, його зловмисне програмне забезпечення обходить попередження системи безпеки Windows Mark of the Web про завантаження вмісту, а потім продовжує «перехоплювати великі перекази криптовалюти, змінювати адресу одержувача та доводити суму переказу до ліміту, фактично зливаючи рахунок у одна транзакція».
За темою: Північнокорейський Lazarus стоїть за роками криптозломів у Японії — Поліція
За словами Касперського, проблема із загрозливими акторами загострюється. Дослідник Сонсу Парк сказав у заяві:
«Наступний рік ознаменується кіберепідеміями з найбільшим впливом, сила якого ще ніколи не була бачена. […] На порозі нових зловмисних кампаній компанії повинні бути захищені як ніколи».
Підгрупу BlueNoroff Lazarus було вперше ідентифіковано після атаки на центральний банк Бангладеш у 2016 році. Вона входила до групи північнокорейських кіберзагроз Агентством кібербезпеки та безпеки інфраструктури США та Федеральним бюро розслідувань. згадується у виданому попередженні у квітні.
Північнокорейські загрозливі актори, пов’язані з Lazarus Group, були помічений при спробі крадіжки незамінні токени також за останні тижні. Група відповідав за 600 мільйонів доларів Експлуатація мосту Ронін у березні.
Джерело: https://cointelegraph.com/news/north-korean-hackers-are-pretending-to-be-crypto-vcs-in-new-phishing-scheme-kaspersky