BlueNoroff, onderdeel van de door de Noord-Koreaanse staat gesponsorde Lazarus Group, richt zich opnieuw op durfkapitaalbedrijven, crypto-startups en banken. Cyberbeveiligingslaboratorium Kaspersky gerapporteerd dat de groep een piek in activiteit heeft laten zien na een pauze gedurende het grootste deel van het jaar en dat het nieuwe leveringsmethoden voor zijn malware aan het testen is.
BlueNoroff heeft meer dan 70 nepdomeinen gecreëerd die durfkapitaalbedrijven en banken nabootsen. De meeste vervalsingen deden zich voor als bekende Japanse bedrijven, maar sommige namen ook de identiteit aan van Amerikaanse en Vietnamese bedrijven.
BlueNoroff introduceert nieuwe methoden die MoTW omzeilenhttps://t.co/C6q0l1mWqo
— Pentesting Nieuws (@PentestingN) 27 december 2022
Volgens het rapport heeft de groep geëxperimenteerd met nieuwe bestandstypen en andere manieren om malware af te leveren. Eenmaal op zijn plaats ontwijkt de malware Windows Mark-of-the-Web-beveiligingswaarschuwingen over het downloaden van inhoud en gaat vervolgens verder met het onderscheppen van grote cryptocurrency-overdrachten, het wijzigen van het adres van de ontvanger en het opdrijven van het overdrachtsbedrag tot het uiterste, waardoor het account in feite leegloopt in een enkele transactie.”
Zie ook: Noord-Koreaanse Lazarus achter jarenlange crypto-hacks in Japan - Politie
Volgens Kaspersky wordt het probleem met dreigingsactoren steeds groter. Onderzoeker Seongsu Park zei in een verklaring:
“Het komende jaar zal in het teken staan van de cyberepidemieën met de grootste impact, waarvan de kracht nog nooit eerder is gezien. […] Op de drempel van nieuwe kwaadaardige campagnes moeten bedrijven veiliger zijn dan ooit.”
De BlueNoroff-subgroep van Lazarus werd voor het eerst geïdentificeerd na een aanval op de Bengaalse centrale bank in 2016. Het behoorde tot een groep Noord-Koreaanse cyberdreigingen die de Amerikaanse Cybersecurity and Infrastructure Security Agency en het Federal Bureau of Investigation vermeld in een uitgegeven waarschuwing in april.
Noord-Koreaanse dreigingsactoren die banden hebben met de Lazarus-groep gespot bij een poging tot stelen niet-fungibele tokens in de afgelopen weken ook. De groep was verantwoordelijk voor de $ 600 miljoen Exploitatie Ronin Bridge in maart.
Bron: https://cointelegraph.com/news/north-korean-hackers-are-pretending-to-be-crypto-vcs-in-new-phishing-scheme-kaspersky