BlueNoroff, входящая в состав спонсируемой государством Северной Кореи Lazarus Group, возобновила свою работу с венчурными компаниями, крипто-стартапами и банками. Лаборатория кибербезопасности Касперский переправу что группа продемонстрировала всплеск активности после затишья в течение большей части года и тестирует новые методы доставки своего вредоносного ПО.
BlueNoroff создала более 70 поддельных доменов, которые имитируют фирмы венчурного капитала и банки. Большинство подделок представлялись известными японскими компаниями, но некоторые также выдавали себя за американские и вьетнамские компании.
BlueNoroff представляет новые методы обхода MoTWhttps://t.co/C6q0l1mWqo
— Новости пентестинга (@PentestingN) 27 декабря 2022
Согласно отчету, группа экспериментировала с новыми типами файлов и другими методами доставки вредоносных программ. Оказавшись на месте, его вредоносное ПО обходит предупреждения безопасности Windows Mark-of-the-Web о загрузке контента, а затем переходит к «перехвату крупных переводов криптовалюты, изменению адреса получателя и доведению суммы перевода до предела, по существу опустошая учетную запись в одна транзакция».
Связанный: Лазарь из Северной Кореи стоит за многолетними взломами криптовалюты в Японии — полиция
По словам Касперского, проблема с злоумышленниками обостряется. Исследователь Сонсу Пак — сказал в заявлении:
«Наступающий год будет отмечен киберэпидемиями с самым большим воздействием, сила которых никогда не наблюдалась. […] В преддверии новых вредоносных кампаний предприятия должны быть более безопасными, чем когда-либо».
Подгруппа BlueNoroff компании Lazarus была впервые идентифицирована после того, как она атаковала центральный банк Бангладеш в 2016 году. Она входила в группу северокорейских киберугроз Агентства кибербезопасности и безопасности инфраструктуры США и Федерального бюро расследований. упоминается в предупреждении, выпущенном в апреле.
Северокорейские субъекты угрозы, связанные с Lazarus Group, были замечен при попытке украсть невзаимозаменяемые токены в последние недели. Группа несет ответственность за 600 миллионов долларов Эксплуатация моста Ронин в марте.
Источник: https://cointelegraph.com/news/north-korean-hackers-are-pretending-to-be-crypto-vcs-in-new-phishing-scheme-kaspersky.