27 грудня «Лабораторія Касперського» оголосила, що північнокорейська хакерська група «BlueNoroff» викрала мільйони доларів у криптовалютах після створення понад 70 фальшивих доменів і видавання себе за банки та компанії венчурного капіталу.
Згідно зі дослідження, більшість доменів імітували японські фірми венчурного капіталу, вказуючи на великий інтерес до даних користувачів і компаній у цій країні.
«Після дослідження інфраструктури, яка використовувалася, ми виявили більше 70 доменів, які використовувалися цією групою, тобто вони були дуже активними донедавна. Крім того, вони створили численні фальшиві домени, які виглядають як венчурний капітал і банківські домени».
Група Bluenoroff удосконалила свої методи інфікування
Ще кілька місяців тому група BlueNoroff використовувала документи Word для впровадження шкідливого програмного забезпечення. Однак нещодавно вони вдосконалили свої методи, створивши новий пакетний файл Windows, який дозволяє розширити область дії та режим виконання шкідливого програмного забезпечення.
Ці нові файли .bat обходять заходи безпеки Windows Mark-of-the-Web (MOTW), приховані позначки, додані до файлів, завантажених з Інтернету, для захисту користувачів від файлів із ненадійних джерел.
Після ретельного розслідування наприкінці вересня Касперський підтвердив, що окрім використання нових сценаріїв група BlueNoroff почала використовувати файли образів дисків .iso та .vhd для розповсюдження вірусів.
Kaspersky також виявив, що користувач в Об’єднаних Арабських Еміратах став жертвою групи BlueNoroff після завантаження документа Word під назвою «Shamjit Client Details Form.doc», який дозволив хакерам підключитися до його комп’ютера та отримати інформацію під час спроби виконати навіть більш потужне шкідливе програмне забезпечення.
Після того, як хакери увійшли в комп’ютер, «вони спробували зняти відбитки пальців жертви та встановити додаткове шкідливе програмне забезпечення з високими привілеями», проте жертва виконала кілька команд, щоб зібрати основну інформацію про систему, запобігаючи подальшому поширенню шкідливого програмного забезпечення.
Техніки злому стають небезпечнішими
Вірте чи ні, повідомляють що Північна Корея лідирує у світі за крипто-злочинністю. Звіти стверджують, що до травня 1 року північнокорейські хакери змогли викрасти криптовалюти на суму понад 2022 мільярд доларів. Найбільшу групу Lazarus вважають відповідальною за великі фішингові атаки та методи розповсюдження шкідливого програмного забезпечення.
Після крадіжки понад 620 мільйонів доларів від Axie Infinity, північнокорейська хакерська група Lazarus, одна з найбільших хакерських груп у світі, зібрала достатньо грошей, щоб покращити своє програмне забезпечення до такого рівня, що вони створили розширену схему криптовалюти через домен під назвою bloxholder.com, який вони використовували як прикриття для викрадення особистих ключів багатьох їхніх «клієнтів».
As повідомляє Microsoft за останні кілька років почастішали атаки, спрямовані на криптовалютні організації за вищу винагороду, тому атаки стали складнішими, ніж раніше.
Однією з найновіших методик, які використовують хакери через групи Telegram, є надсилання інфікованих файлів, замаскованих під таблиці Excel, які містять структуру комісії біржової компанії як гачок.
Відкривши файли, жертви завантажують серію програм, які дозволяють хакеру отримати віддалений доступ до зараженого пристрою, будь то мобільний пристрій чи ПК.
Binance безкоштовно $100 (ексклюзив): Використовуйте це посилання щоб зареєструватися та отримати 100 доларів США безкоштовно та знижку 10% на Binance Futures за перший місяць (terms ).
Спеціальна пропозиція PrimeXBT: Використовуйте це посилання щоб зареєструватися та ввести код POTATO50, щоб отримати до 7,000 доларів США на свої депозити.
Джерело: https://cryptopotato.com/north-korean-hacking-group-steals-millions-posing-as-japanese-vcs-and-banks/