Лаборатория кибербезопасности «Лаборатория Касперского» бьет тревогу по поводу возобновления тактики фишинга группой BlueNoroff. Хакеров спонсирует Северная Корея, которая финансово заинтересована в получении прибыли от своих кибератак против финансовых фирм, в том числе криптовалютных компаний.
BlueNoroff создала более 70 поддельных доменов, имитирующих венчурный капитал фирм и банков. Большинство самозванцев представились известными японскими компаниями. Тем не менее, некоторые утверждали, что они из США и Вьетнама.
Группа BlueNoroff часто внедряет вредоносное ПО через текстовые документы и файлы ярлыков. Их новейшее вредоносное ПО может обойти флаг Mark-of-the-Web (MOTW).
В отчете «Лаборатории Касперского» говорится, что группа BlueNoroff экспериментирует с новыми типами файлов и другими методами распространения вредоносных программ.
После установки вредоносная программа обходит предупреждения безопасности Windows MOTW о загрузке контента. После этого вирус перехватывает большие криптовалюта переводы, изменение адреса кошелька получателя и увеличение суммы перевода до максимального предела, слив аккаунта за одну транзакцию.
Сонсу Пак, исследователь «Лаборатории Касперского», отметил всплеск кибератак в 2023 году. Пак подчеркнул, что предприятия должны быть более безопасными, чем когда-либо, по мере появления новых вредоносных кампаний.
Давление северокорейских хакеров на безопасность
Ассоциация северокорейская угроза Актер впервые попал в центральный банк Бангладеш в 2016 году и попал в поле зрения служб кибербезопасности США.
Федеральное бюро расследований США (ФБР) совместно с Агентством кибербезопасности и безопасности инфраструктуры (CISA) посоветовало всем американским криптовалютным компаниям усилить свою архитектуру безопасности от потенциальных злоумышленников со стороны северокорейских хакеров.
Недавний отчет Group-IB по безопасности показал, что с 2017 года спонсируемая государством группа Lazarus украла более 882 миллионов долларов с криптобирж.
Группа предположительно несет ответственность за эксплойт Ronin Bridge стоимостью 600 миллионов долларов в марте, и недавно было замечено, что она использует более 500 доменов для попытки кражи невзаимозаменяемых токенов (NFT).
К сожалению, криптобиржи — не единственные жертвы этих корейских хакеров. Отчет Group-IB также показал, что с 10 года было украдено более 2017% средств от кампаний первичного размещения (ICO).
Часть более крупной операции?
Комната 39, это секретная организация в правительстве Северной Кореи, которое отвечает за получение иностранной валюты из незаконных источников для страны. Имеются данные о том, что она занимается рядом незаконных действий, в том числе контрафактной продукцией и незаконным оборотом наркотиков, а также другими незаконными предприятиями, такими как продажи оружия и взлом.
Перебежчики из Северной Кореи говорят, что она управляется из здания в столице Пхеньяне и, как говорят, возглавляется членами семьи Ким, которые держат власть в Северной Корее на протяжении трех поколений.
Точный характер и масштабы деятельности Комнаты 39 окутаны тайной, поскольку она действует тайно из-за незаконного характера операций. Вероятно, это ключевой источник финансирования северокорейской диктатуры, и считается, что он несет ответственность за ежегодное получение сотен миллионов долларов темных денег.
Считается, что организация имеет обширные международные связи, и может экспортировать рабский труд европейским странам, чтобы воспользоваться более высокой стоимостью рабочей силы в ЕС по сравнению с Восточной Азией.
Северная Корея уже давно находится под санкциями США, что ограничивает ее доступ к валютным резервам. Имея дело с незаконным бизнесом, основанным на наличных деньгах, страна может получить доступ к ликвидным средствам, и, возможно, поэтому северокорейские хакеры в данный момент ищут больше криптовалюты.
Еще одна суматоха для Северной Кореи
Невозможно узнать, стоит ли за продолжающимися взломами «Комната 39», но Северная Корея известна теневые сделки которые привлекают ликвидные активы. Еще одним давним незаконным бизнесом Северной Кореи является производство и экспорт метамфетамина, который, по утверждению перебежчика из страны, был сделано по прямому указанию Ким Чен Ира.
Метамфетамин широко используется местным населением. По некоторым оценкам, около половины населения Северной Кореи использует наркотик, который также экспортируется в больших количествах. Соседние страны, такие как Китай, являются основными экспортными рынками, но другие страны, такие как США, перехватывают поставки метамфетамина из Северной Кореи.
Подобно взлому криптовалюты, незаконный бизнес, такой как производство метамфетамина, вероятно, пользуется спонсорской поддержкой государства Северной Кореи, что делает вероятность того, что они будут беспрепятственно продолжать свою деятельность.
Источник: https://crypto.news/kaspersky-north-korean-hackers-mimic-crypto-vcs-in-new-phishing-scheme/