Kaspersky, et cybersikkerhetslaboratorium, slår alarm over fornyet phishing-taktikk fra BlueNoroff-gruppen. Hackerne er sponset av Nord-Korea som er økonomisk motivert til å tjene på cyberangrepene mot finansfirmaer, inkludert kryptoenheter.
BlueNoroff har laget over 70 falske domener som imiterer venture kapital bedrifter og banker. De fleste bedragerne presenterte seg som kjente japanske selskaper. Likevel hevdet noen å være fra USA og Vietnam.
BlueNoroff-gruppen injiserer ofte skadevare gjennom word-dokumenter og snarveisfiler. Deres nyeste malware kan unngå Mark-of-the-Web (MOTW)-flagget.
Kaspersky-rapporten avslørte at BlueNoroff-gruppen eksperimenterer med nye typer filer og andre distribusjonsmetoder for skadelig programvare.
Når den er installert, omgår skadelig programvare Windows' MOTW-sikkerhetsadvarsler om nedlasting av innhold. Etter det avskjærer viruset stort cryptocurrency overføringer, endring av mottakerens lommebokadresse og økning av overføringsbeløpet til maksimumsgrensen, tømmer kontoen i en enkelt transaksjon.
Seongsu Park, en Kaspersky-forsker, bemerket økningen i cyberangrep inn i 2023. Park understreket behovet for at bedrifter skal være sikrere enn noen gang etter hvert som nye ondsinnede kampanjer dukker opp.
Nordkoreanske hackers press på sikkerheten
De Nordkoreansk trussel skuespilleren slo først en Bangladeshisk sentralbank i 2016 og har vært på radaren til USAs cybersikkerhetstjenester i land.
United States Federal Bureau of Investigation (FBI), i samarbeid med Cybersecurity and Infrastructure Security Agency (CISA), rådet alle amerikansk-baserte kryptovalutaselskaper til å styrke sikkerhetsarkitekturen sin mot potensielle angripere fra nordkoreanske hackere.
En Group-IB ber sikkerhetsrapport nylig avslørt at siden 2017 har over 882 millioner dollar blitt stjålet fra kryptobørser av den statsstøttede Lazarus-gruppen.
Gruppen er angivelig ansvarlig for 600 millioner dollar utnyttelsen av Ronin Bridge i mars og ble nylig oppdaget å bruke over 500 domener for å forsøke tyveri av ikke-fungible tokens (NFT).
Dessverre er ikke kryptobørser de eneste ofrene for disse koreanske hackerne. Group-IB-rapporten avslørte også at over 10 % av midlene fra starttilbudskampanjer (ICOs) hadde blitt stjålet siden 2017.
Del av en større operasjon?
Rom 39, er en hemmelighetsfull organisasjon innenfor den nordkoreanske regjeringen som er ansvarlig for å generere utenlandsk valuta fra ulovlige kilder for landet. Det er bevis for at det er involvert i en rekke ulovlige aktiviteter, inkludert forfalskning og narkotikasmugling, samt andre ulovlige virksomheter som f.eks. salg armer og hacking.
Nordkoreanske avhoppere sier at den drives fra en bygning i hovedstaden Pyongyang, og skal ledes av medlemmer av Kim-familien, som har hatt makten i Nord-Korea i tre generasjoner.
Den nøyaktige arten og omfanget av Room 39s aktiviteter er innhyllet i mystikk, siden det opererer i hemmelighet på grunn av den ulovlige karakteren av operasjonene. Det er sannsynligvis en nøkkelkilde til finansiering for det nordkoreanske diktaturet, og antas å være ansvarlig for å generere hundrevis av millioner dollar i mørke penger hvert år.
Organisasjonen antas å ha omfattende internasjonale forbindelser, og kan eksportere slavearbeid til europeiske nasjoner for å dra nytte av de høyere lønnskostnadene i EU, sammenlignet med Øst-Asia.
Nord-Korea har lenge vært under USA-ledede sanksjoner, noe som legger press på deres tilgang til valutareserver. Ved å håndtere ulovlige, kontantbaserte virksomheter kan nasjonen få tilgang til likvide midler, noe som kan være grunnen til at nordkoreanske hackere ser etter mer krypto for øyeblikket.
Nok et mas for Nord-Korea
Det er umulig å vite om Room 39 står bak de pågående hackene, men Nord-Korea er kjent for lyssky forretninger som henter likvide eiendeler. En annen langvarig ulovlig virksomhet for Nord-Korea er produksjon og eksport av metamfetamin, som en avhopper fra nasjonen hevder var gjort under direkte ordre av Kim Jong-il.
Meth brukes mye av lokalbefolkningen. Etter noen anslag, så mye som halvparten av Nord-Koreas befolkning bruker stoffet, som også eksporteres i store mengder. Naboland som Kina er ledende eksportmarkeder, men andre nasjoner som USA har fanget opp nordkoreanske meth-forsendelser.
På samme måte som kryptohakkene, vil ulovlige virksomheter som methproduksjon sannsynligvis nyte nordkoreansk statssponsing, noe som gjør det sannsynlig at de vil fortsette uhindret.
Kilde: https://crypto.news/kaspersky-north-korean-hackers-mimic-crypto-vcs-in-new-phishing-scheme/