Kaspersky, kyberturvallisuuslaboratorio, herättää hälytystä BlueNoroff-ryhmän uusista tietojenkalastelutaktiikoista. Hakkereita sponsoroi Pohjois-Korea, joka on taloudellisesti motivoitunut hyötymään kyberhyökkäyksistään rahoitusyrityksiä, mukaan lukien krypto-yksiköitä, vastaan.
BlueNoroff on luonut yli 70 väärennettyä verkkotunnusta, jotka jäljittelevät riskipääomaa yrityksiä ja pankkeja. Suurin osa huijareista esitteli olevansa tunnettuja japanilaisia yrityksiä. Silti jotkut väittivät olevansa Yhdysvalloista ja Vietnamista.
BlueNoroff-ryhmä syöttää usein haittaohjelmia Word-asiakirjojen ja pikakuvakkeiden kautta. Heidän uusimmat haittaohjelmansa voivat kiertää Mark-of-the-Web (MOTW) -lipun.
Kasperskyn raportti paljasti, että BlueNoroff-ryhmä kokeilee uudenlaisia tiedostoja ja muita haittaohjelmien jakelumenetelmiä.
Asennuksen jälkeen sen haittaohjelma ohittaa Windowsin MOTW-suojausvaroitukset sisällön lataamisesta. Sen jälkeen virus sieppaa suuria kryptovaluutta siirrot, vastaanottajan lompakon osoitteen muuttaminen ja siirtosumman nostaminen enimmäisrajaan, tilin tyhjentäminen yhdellä tapahtumalla.
Kasperskyn tutkija Seongsu Park pani merkille kyberhyökkäysten piikkien vuoteen 2023 mennessä. Park korosti, että yritysten on oltava turvallisempia kuin koskaan, kun uusia haitallisia kampanjoita ilmaantuu.
Pohjois-Korean hakkerit painostavat turvallisuutta
- Pohjois-Korean uhka Näyttelijä osui ensimmäisen kerran Bangladeshin keskuspankkiin vuonna 2016 ja on ollut Yhdysvaltojen kyberturvallisuuspalvelujen tutkassa.
Yhdysvaltain Federal Bureau of Investigation (FBI) yhdessä Cybersecurity and Infrastructure Security Agencyn (CISA) kanssa neuvoi kaikkia amerikkalaisia kryptovaluuttayhtiöitä tehostamaan tietoturva-arkkitehtuuriaan pohjoiskorealaisten hakkereiden mahdollisia hyökkääjiä vastaan.
Group-IB ber -turvallisuusraportti äskettäin paljasti että vuodesta 2017 lähtien valtion tukema Lazarus-ryhmä on varastanut kryptopörsseistä yli 882 miljoonaa dollaria.
Ryhmän väitetään olevan vastuussa maaliskuussa tehdystä 600 miljoonan dollarin Ronin Bridgen hyväksikäytöstä, ja sen havaittiin äskettäin käyttävän yli 500 verkkotunnusta yrittääkseen varastaa non-fungible tokens (NFT).
Valitettavasti kryptopörssit eivät ole ainoita näiden korealaisten hakkereiden uhreja. Group-IB:n raportti paljasti myös, että yli 10 % ICO-kampanjoiden varoista oli varastettu vuodesta 2017 lähtien.
Osa isompaa operaatiota?
Huone 39 on a salainen organisaatio Pohjois-Korean hallituksessa, joka on vastuussa vieraan valuutan tuottamisesta laittomista lähteistä maahan. On näyttöä siitä, että se osallistuu useisiin laittomiin toimiin, mukaan lukien väärentäminen ja huumekauppa, sekä muihin laittomiin hankkeisiin, kuten aseiden myynnin ja hakkerointi.
Pohjoiskorealaiset loikkarit kertovat, että sitä käytetään pääkaupungissa Pjongjangissa sijaitsevasta rakennuksesta, ja sen sanotaan johtavan Kimin perheen jäseniä, jotka ovat pitäneet valtaa Pohjois-Koreassa kolmen sukupolven ajan.
Huone 39:n toiminnan tarkka luonne ja laajuus on mysteerin peitossa, sillä se toimii salassa toiminnan laittoman luonteen vuoksi. Se on todennäköisesti Pohjois-Korean diktatuurin tärkein rahoituslähde, ja sen uskotaan tuottavan satoja miljoonia dollareita pimeää rahaa joka vuosi.
Järjestöllä uskotaan olevan laajat kansainväliset yhteydet ja voi viedä orjatyövoimaa Euroopan kansoille hyödyntääkseen EU:n korkeampia työvoimakustannuksia kuin Itä-Aasiassa.
Pohjois-Korea on jo pitkään ollut Yhdysvaltain johtamien pakotteiden alaisena, mikä painostaa sen pääsyä valuuttavarantoihin. Käsittelemällä laittomia, käteispohjaisia yrityksiä, kansakunta voi päästä käsiksi likvideihin varoihin, minkä vuoksi pohjoiskorealaiset hakkerit etsivät tällä hetkellä lisää kryptoa.
Toinen hälinä Pohjois-Korealle
On mahdotonta tietää, onko huone 39 meneillään olevien hakkerointien takana, mutta Pohjois-Korea tunnetaan hämärää kauppaa jotka keräävät likvidejä varoja. Toinen Pohjois-Korean pitkään jatkunut laiton liiketoiminta on metamfetamiinin valmistus ja vienti, jota maan loikkaaja väittää olleen. tehty suorien määräysten mukaisesti Kim Jong-ilistä.
Paikallinen väestö käyttää metamaattia laajasti. Joidenkin arvioiden mukaan jopa puolet Pohjois-Korean väestöstä käyttää lääkettä, jota myös viedään suuria määriä. Naapurimaat, kuten Kiina, ovat tärkeimpiä vientimarkkinoita, mutta muut maat, kuten Yhdysvallat, ovat pysäyttäneet Pohjois-Korean meth-toimitukset.
Aivan kuten kryptohakkerointi, laittomat yritykset, kuten metantuotanto, nauttivat todennäköisesti Pohjois-Korean valtion sponsoroinnista, mikä tekee todennäköisestä, että ne jatkavat esteettä.
Lähde: https://crypto.news/kaspersky-north-korean-hackers-mimic-crypto-vcs-in-new-phishing-scheme/