BlueNoroff, del skupine Lazarus Group, ki jo sponzorira severnokorejska država, je obnovil ciljanje na podjetja tveganega kapitala, kripto zagonska podjetja in banke. Laboratorij za kibernetsko varnost Kaspersky poročali da je skupina pokazala skokovit porast dejavnosti po zatišju večino leta in preizkuša nove načine dostave za svojo zlonamerno programsko opremo.
BlueNoroff je ustvaril več kot 70 lažnih domen, ki posnemajo podjetja tveganega kapitala in banke. Večina ponaredkov se je predstavila kot znana japonska podjetja, nekateri pa so prevzeli tudi identiteto ameriških in vietnamskih podjetij.
BlueNoroff uvaja nove metode mimo MoTWhttps://t.co/C6q0l1mWqo
— Pentesting News (@PentestingN) December 27, 2022
Skupina je po poročilu eksperimentirala z novimi vrstami datotek in drugimi načini dostave zlonamerne programske opreme. Ko je zlonamerna programska oprema nameščena, se izogne varnostnim opozorilom Windows Mark-of-the-Web o prenosu vsebine in nato »prestreže velike prenose kriptovalut, spremeni naslov prejemnika in poveča znesek prenosa do meje, kar v bistvu izprazni račun v ena transakcija."
Povezano: Severnokorejski Lazarus stoji za dolgoletnimi vdori v kriptovalute na Japonskem — Policija
Po besedah Kasperskyja se problem z akterji groženj poslabšuje. Raziskovalec Seongsu Park je dejal v izjavi:
»Prihodnje leto bodo zaznamovale kibernetske epidemije z največjim vplivom, katerih moč še ni bila videna. […] Na pragu novih zlonamernih kampanj morajo biti podjetja bolj varna kot kdaj koli prej.«
Podskupina BlueNoroff Lazarusa je bila prvič identificirana po napadu na bangladeško centralno banko leta 2016. Bila je v skupini severnokorejskih kibernetskih groženj ameriške agencije za kibernetsko varnost in varnost infrastrukture ter Zveznega preiskovalnega urada. omenjeno v izdanem opozorilu v aprilu.
Severnokorejski akterji grožnje, povezani s skupino Lazarus, so bili opazili pri poskusu kraje nezamenljive žetone tudi v zadnjih tednih. Skupina je bil odgovoren za 600 milijonov dolarjev Izkoriščanje mostu Ronin v marcu.
Vir: https://cointelegraph.com/news/north-korean-hackers-are-pretending-to-be-crypto-vcs-in-new-phishing-scheme-kaspersky