Kaspersky, лабораторія кібербезпеки, б’є тривогу через нову тактику фішингу групою BlueNoroff. Хакерів спонсорує Північна Корея, яка має фінансову мотивацію отримати прибуток від своїх кібератак на фінансові фірми, включно з криптокомпаніями.
BlueNoroff створив понад 70 фальшивих доменів, які імітують венчурний капітал фірм і банків. Більшість шахраїв представлялися відомими японськими компаніями. Проте деякі стверджували, що вони зі Сполучених Штатів і В’єтнаму.
Група BlueNoroff часто впроваджує зловмисне програмне забезпечення через документи Word і файли ярликів. Їхнє останнє зловмисне програмне забезпечення може уникнути позначки Mark-of-the-Web (MOTW).
Звіт Kaspersky показав, що група BlueNoroff експериментує з новими видами файлів та іншими методами розповсюдження шкідливого програмного забезпечення.
Після встановлення зловмисне програмне забезпечення обходить попередження системи безпеки Windows MOTW про завантаження вмісту. Після цього вірус перехоплює великі криптовалюта перекази, зміна адреси гаманця одержувача та збільшення суми переказу до максимального ліміту, злиття рахунку за одну транзакцію.
Сеонгсу Пак, дослідник Kaspersky, зазначив сплеск кібератак у 2023 році. Пак наголосив на необхідності безпеки компаній, як ніколи, оскільки з’являються нові шкідливі кампанії.
Тиск північнокорейських хакерів на безпеку
Команда Північнокорейська загроза Актор вперше потрапив у центральний банк Бангладеш у 2016 році та був на радарі служб кібербезпеки Сполучених Штатів.
Федеральне бюро розслідувань США (ФБР) спільно з Агентством з кібербезпеки та безпеки інфраструктури (CISA) порадили всім американським криптовалютним компаніям посилити свою архітектуру безпеки проти потенційних атак з боку північнокорейських хакерів.
Недавній звіт про безпеку Group-IB виявлено що з 2017 року понад 882 мільйони доларів було вкрадено з криптовалютних бірж спонсорованою державою групою Lazarus.
Група нібито несе відповідальність за експлойт Ronin Bridge вартістю 600 мільйонів доларів у березні, і нещодавно було помічено, що вона використовує понад 500 доменів для спроб крадіжки незамінних токенів (NFT).
На жаль, криптобіржі не єдині жертви цих корейських хакерів. Звіт Group-IB також показав, що понад 10% коштів від кампаній первинного розміщення (ICO) було вкрадено з 2017 року.
Частина більшої операції?
Кімната 39, це а таємна організація в уряді Північної Кореї, який відповідає за отримання іноземної валюти з незаконних джерел для країни. Є докази того, що він причетний до низки незаконних дій, включаючи підробку та торгівлю наркотиками, а також інших незаконних підприємств, таких як продажу зброї і хакерство.
Північнокорейські перебіжчики кажуть, що нею керують із будівлі в столиці Пхеньяні, і нібито її очолюють члени родини Кім, які тримають владу в Північній Кореї протягом трьох поколінь.
Точний характер і масштаби діяльності Room 39 оповиті таємницею, оскільки вона працює таємно через незаконний характер операцій. Ймовірно, це ключове джерело фінансування північнокорейської диктатури, і вважається відповідальним за створення сотень мільйонів доларів темних грошей щороку.
Вважається, що організація має широкі міжнародні зв’язки може експортувати рабську працю європейським країнам, щоб скористатися перевагами вищих витрат на робочу силу в ЄС порівняно зі Східною Азією.
Північна Корея вже давно перебуває під санкціями США, що створює тиск на її доступ до валютних резервів. Маючи справу з нелегальним готівковим бізнесом, нація отримує доступ до ліквідних коштів, можливо, саме тому північнокорейські хакери зараз шукають більше криптовалюти.
Чергова суєта для Північної Кореї
Неможливо дізнатися, чи стоїть Room 39 за хакерськими атаками, але Північна Корея відома тіньові оборудки які залучають ліквідні активи. Іншим давнім незаконним бізнесом Північної Кореї є виробництво та експорт метамфетаміну, який, як стверджує перебіжчик з країни, був виконано за прямим наказом Кім Чен Іра.
Мет інтенсивно вживається місцевим населенням. За деякими оцінками, близько половини населення Північної Кореї вживає наркотик, який також у великих обсягах експортується. Сусідні країни, такі як Китай, є основними експортними ринками, але інші країни, такі як США, перехоплювали поставки метамфетаміну з Північної Кореї.
Подібно до криптозломів, нелегальний бізнес, як-от виробництво метамфетаміну, ймовірно, користується державним спонсорством Північної Кореї, що робить його ймовірним безперешкодним продовженням.
Джерело: https://crypto.news/kaspersky-north-korean-hackers-mimic-crypto-vcs-in-new-phishing-scheme/