BlueNoroff, част от спонсорираната от севернокорейската държава Lazarus Group, поднови насочването си към фирми за рисков капитал, крипто стартъпи и банки. Лаборатория за киберсигурност Kaspersky съобщи че групата е показала скок в активността след затишие през по-голямата част от годината и тества нови методи за доставка за своя зловреден софтуер.
BlueNoroff е създал повече от 70 фалшиви домейна, които имитират фирми за рисков капитал и банки. Повечето от фалшификатите се представят като добре известни японски компании, но някои се представят и за американски и виетнамски компании.
BlueNoroff въвежда нови методи, заобикаляйки MoTWhttps://t.co/C6q0l1mWqo
— Pentesting News (@PentestingN) Декември 27, 2022
Групата експериментира с нови типове файлове и други методи за доставка на зловреден софтуер, според доклада. Веднъж поставен, неговият злонамерен софтуер избягва предупрежденията за сигурност на Windows Mark-of-the-Web за изтегляне на съдържание и след това продължава да „прихваща големи трансфери на криптовалута, променя адреса на получателя и натиска сумата на трансфера до лимита, като по същество източва акаунта в една транзакция."
Свързани: Lazarus от Северна Корея стои зад години крипто хакове в Япония — Полиция
Според Касперски, проблемът със заплахите се влошава. Изследовател Seongsu Park каза в изявление:
„Идната година ще бъде белязана от кибер епидемиите с най-голямо въздействие, чиято сила не е виждана досега. […] На прага на нови злонамерени кампании, бизнесът трябва да бъде по-сигурен от всякога.“
Подгрупата BlueNoroff на Lazarus беше идентифицирана за първи път, след като атакува централната банка на Бангладеш през 2016 г. Тя беше сред група севернокорейски киберзаплахи от Агенцията за киберсигурност и сигурност на инфраструктурата на САЩ и Федералното бюро за разследване споменати в издаден сигнал през април.
Севернокорейски заплахи, свързани с Lazarus Group, са били забелязан при опит за кражба незаменими токени и през последните седмици. Групата беше отговорен за 600-те милиона долара Експлоатация на моста Ронин през март.
Източник: https://cointelegraph.com/news/north-korean-hackers-are-pretending-to-be-crypto-vcs-in-new-phishing-scheme-kaspersky