Kaspersky, лаборатория за киберсигурност, вдига тревога за подновени тактики за фишинг от групата BlueNoroff. Хакерите са спонсорирани от Северна Корея, която е финансово мотивирана да печели от своите кибератаки срещу финансови фирми, включително крипто субекти.
BlueNoroff създаде над 70 фалшиви домейна, които имитират рисков капитал фирми и банки. Повечето от измамниците се представят за известни японски компании. Все пак някои твърдяха, че са от Съединените щати и Виетнам.
Групата BlueNoroff често инжектира зловреден софтуер чрез текстови документи и файлове с преки пътища. Най-новият им злонамерен софтуер може да избегне флага на Mark-of-the-Web (MOTW).
Докладът на Kaspersky разкри, че групата BlueNoroff експериментира с нови видове файлове и други методи за разпространение на зловреден софтуер.
Веднъж инсталиран, неговият злонамерен софтуер заобикаля предупрежденията за сигурност на MOTW на Windows за изтегляне на съдържание. След това вирусът прихваща големи cryptocurrency преводи, промяна на адреса на портфейла на получателя и увеличаване на сумата на превода до максималния лимит, източване на акаунта в една транзакция.
Seongsu Park, изследовател на Kaspersky, отбеляза скока на кибератаките през 2023 г. Park подчерта необходимостта бизнесът да бъде по-сигурен от всякога, когато се появяват нови злонамерени кампании.
Натискът на севернокорейските хакери върху сигурността
- Севернокорейска заплаха актьор за първи път удари централна банка на Бангладеш през 2016 г. и е бил на радара на службите за киберсигурност на Съединените щати на страните.
Федералното бюро за разследване на Съединените щати (ФБР), съвместно с Агенцията за киберсигурност и сигурност на инфраструктурата (CISA), посъветва всички базирани в Америка компании за криптовалута да подобрят своята архитектура за сигурност срещу потенциални нападатели от севернокорейски хакери.
Неотдавнашен доклад за сигурността на Group-IB разкри че от 2017 г. над 882 милиона долара са били откраднати от крипто борси от спонсорираната от държавата група Lazarus.
Твърди се, че групата е отговорна за експлойта на Ronin Bridge на стойност 600 милиона долара през март и наскоро беше забелязана да използва над 500 домейна за опит за кражба на незаменими токени (NFT).
За съжаление, крипто борсите не са единствените жертви на тези корейски хакери. Докладът на Group-IB също така разкри, че над 10% от средствата от кампании за първоначално предлагане (ICO) са били откраднати от 2017 г.
Част от по-голяма операция?
Стая 39 е а тайна организация в правителството на Северна Корея, което отговаря за генерирането на чуждестранна валута от незаконни източници за страната. Има доказателства, че е замесен в редица незаконни дейности, включително фалшифициране и трафик на наркотици, както и други незаконни начинания като продажби на оръжие и хакване.
Севернокорейски дезертьори казват, че тя се управлява от сграда в столицата Пхенян и се смята, че се ръководи от членове на семейство Ким, които държат властта в Северна Корея от три поколения.
Точният характер и обхват на дейностите на Room 39 са обвити в мистерия, тъй като тя работи в тайна поради незаконния характер на операциите. Вероятно това е ключов източник на финансиране за севернокорейската диктатура и се смята, че е отговорен за генерирането на стотици милиони долари тъмни пари всяка година.
Смята се, че организацията има широки международни връзки и може да изнася робски труд на европейските нации, за да се възползват от по-високите разходи за труд в ЕС в сравнение с Източна Азия.
Северна Корея отдавна е под водени от САЩ санкции, което оказва натиск върху достъпа й до валутни резерви. Като се занимава с нелегален бизнес, базиран на пари в брой, нацията има достъп до ликвидни средства, което може би е причината севернокорейските хакери да търсят повече крипто в момента.
Още една суматоха за Северна Корея
Невъзможно е да се знае дали стая 39 стои зад продължаващите хакове, но Северна Корея е известна с това сенчести сделки които набират ликвидни активи. Друг дългогодишен незаконен бизнес за Северна Корея е производството и износът на метамфетамин, за който дезертьор от нацията твърди, че е извършва се по пряка поръчка на Ким Чен Ир.
Мет се използва широко от местното население. Според някои оценки, около половината от населението на Северна Корея употребява наркотика, който също се изнася в големи количества. Съседни страни като Китай са основни пазари за износ, но други нации като САЩ са прихванали доставки на метамфетамин от Северна Корея.
Подобно на крипто хаковете, незаконните бизнеси като производството на метамфетамин вероятно се радват на държавно спонсорство от Северна Корея, което прави възможно те да продължат безпрепятствено.
Източник: https://crypto.news/kaspersky-north-korean-hackers-mimic-crypto-vcs-in-new-phishing-scheme/