BlueNoroff, joka on osa Pohjois-Korean valtion tukemaa Lazarus Groupia, on uudistanut kohdesijoituksensa riskipääomayhtiöihin, krypto-startup-yrityksiin ja pankkeihin. Kyberturvallisuuslaboratorio Kaspersky raportoitu että ryhmä on osoittanut aktiivisuuspiikkiä tauon jälkeen suurimman osan vuotta ja se testaa uusia toimitustapoja haittaohjelmilleen.
BlueNoroff on luonut yli 70 väärennettyä verkkotunnusta, jotka jäljittelevät riskipääomayrityksiä ja pankkeja. Suurin osa väärennöksistä esitti olevansa tunnettuja japanilaisia yrityksiä, mutta osa omaksui myös yhdysvaltalaisten ja vietnamilaisten yritysten identiteetin.
BlueNoroff esittelee uusia menetelmiä, jotka ohittavat MoTW:nhttps://t.co/C6q0l1mWqo
— Pentesting News (@PentestingN) Joulukuu 27, 2022
Raportin mukaan ryhmä on kokeillut uusia tiedostotyyppejä ja muita haittaohjelmien toimitustapoja. Kun sen haittaohjelma on paikallaan, se kiertää Windows Mark-of-the-Web -suojausvaroitukset sisällön lataamisesta ja jatkaa sitten "sieppaamalla suuria kryptovaluuttasiirtoja, muuttamalla vastaanottajan osoitetta ja siirtämällä siirtosumman rajaan, mikä käytännössä tyhjentää tilin yksi kauppa."
Related: Pohjois-Korean Lazarus vuosia jatkuneiden salaushakkerointien takana Japanissa – Poliisi
Kasperskyn mukaan uhkatoimijoiden ongelma pahenee. Tutkija Seongsu Park sanoi lausunnossa:
”Tulevaa vuotta lentää voimakkaimmin vaikuttaneet kyberepidemiat, joiden voimakkuutta ei ole ennen nähty. […] Uusien haitallisten kampanjoiden kynnyksellä yritysten on oltava turvallisempia kuin koskaan.”
Lazaruksen BlueNoroff-alaryhmä tunnistettiin ensimmäisen kerran sen jälkeen, kun se hyökkäsi Bangladeshin keskuspankkia vastaan vuonna 2016. Se kuului Pohjois-Korean kyberuhkien ryhmään Yhdysvaltain kyberturvallisuus- ja infrastruktuuriturvavirasto ja Federal Bureau of Investigation. mainitaan annetussa hälytyksessä huhtikuussa.
Lazarus-ryhmään liittyvät pohjoiskorealaiset uhkatekijät ovat olleet huomasi yrittävän varastaa ei-fungible tokeneja myös viime viikkoina. Ryhmä oli vastuussa 600 miljoonasta dollarista Ronin-sillan hyödyntäminen maaliskuussa.
Lähde: https://cointelegraph.com/news/north-korean-hackers-are-pretending-to-be-crypto-vcs-in-new-phishing-scheme-kaspersky