Kaspersky, ett cybersäkerhetslabb, slår larm över BlueNoroff-gruppens förnyade nätfisketaktik. Hackarna sponsras av Nordkorea som är ekonomiskt motiverade att dra nytta av sina cyberattacker mot finansiella företag, inklusive kryptoenheter.
BlueNoroff har skapat över 70 falska domäner som imiterar riskkapital företag och banker. De flesta av bedragarna presenterade sig som välkända japanska företag. Ändå hävdade några att de var från USA och Vietnam.
BlueNoroff-gruppen injicerar ofta skadlig programvara genom word-dokument och genvägsfiler. Deras senaste skadliga program kan undvika Mark-of-the-Web-flaggan (MOTW).
Kaspersky-rapporten avslöjade att BlueNoroff-gruppen experimenterar med nya typer av filer och andra distributionsmetoder för skadlig programvara.
När den väl har installerats kringgår dess skadliga programvara Windows MOTW-säkerhetsvarningar om nedladdning av innehåll. Efter det fångar viruset stort kryptovaluta överföringar, ändring av mottagarens plånboksadress och höjning av överföringsbeloppet till maxgränsen, vilket dränerar kontot i en enda transaktion.
Seongsu Park, en Kaspersky-forskare, noterade ökningen av cyberattacker under 2023. Park betonade behovet av att företag är säkrare än någonsin när nya skadliga kampanjer dyker upp.
Nordkoreanska hackares press på säkerheten
Smakämnen Nordkoreanskt hot Skådespelaren slog först en Bangladeshisk centralbank 2016 och har varit på radarn hos USA:s cybersäkerhetstjänster i länder.
United States Federal Bureau of Investigation (FBI), i samarbete med Cybersecurity and Infrastructure Security Agency (CISA), rådde alla amerikanskt baserade kryptovalutaföretag att förbättra sin säkerhetsarkitektur mot potentiella angripare från nordkoreanska hackare.
En Group-IB ber säkerhetsrapport nyligen avslöjade att sedan 2017 har över 882 miljoner dollar stulits från kryptobörser av den statligt sponsrade Lazarus-gruppen.
Gruppen påstås vara ansvarig för 600 miljoner dollar exploateringen av Ronin Bridge i mars och sågs nyligen använda över 500 domäner för att försöka stöld av icke-fungibla tokens (NFT).
Tyvärr är kryptoutbyten inte de enda offren för dessa koreanska hackare. Group-IB-rapporten avslöjade också att över 10 % av medlen från initial offering-kampanjer (ICOs) hade stulits sedan 2017.
Del av en större verksamhet?
Rum 39, är en hemlighetsfull organisation inom den nordkoreanska regeringen som är ansvarig för att generera utländsk valuta från illegala källor för landet. Det finns bevis för att det är inblandat i ett antal illegala aktiviteter, inklusive förfalskning och narkotikahandel, samt andra olagliga satsningar som t.ex. vapenförsäljning och hacka.
Nordkoreanska avhoppare säger att den drivs från en byggnad i huvudstaden Pyongyang och sägs ledas av medlemmar av familjen Kim, som har haft makten i Nordkorea i tre generationer.
Den exakta karaktären och omfattningen av Room 39:s aktiviteter är höljda i mystik, eftersom det fungerar i hemlighet på grund av verksamhetens olagliga karaktär. Det är sannolikt en viktig finansieringskälla för den nordkoreanska diktaturen och tros vara ansvarig för att generera hundratals miljoner dollar i mörka pengar varje år.
Organisationen tros ha omfattande internationella kopplingar, och får exportera slavarbete till europeiska nationer för att dra fördel av de högre arbetskostnaderna i EU, jämfört med Östasien.
Nordkorea har länge varit under USA-ledda sanktioner, vilket sätter press på landets tillgång till valutareserver. Genom att hantera illegala, kontantbaserade företag kan nationen få tillgång till likvida medel, vilket kan vara anledningen till att nordkoreanska hackare letar efter mer krypto för tillfället.
Ännu ett liv för Nordkorea
Det är omöjligt att veta om Room 39 ligger bakom de pågående hackningarna, men Nordkorea är känt för skumma affärer som tar upp likvida medel. En annan långvarig olaglig verksamhet för Nordkorea är tillverkning och export av metamfetamin, som en avhoppare från nationen hävdar var ske under direkta order av Kim Jong-il.
Meth används i stor utsträckning av lokalbefolkningen. Enligt vissa uppskattningar så mycket som hälften av Nordkoreas befolkning använder drogen, som också exporteras i stora mängder. Grannländer som Kina är främsta exportmarknader, men andra nationer som USA har snappat upp nordkoreanska meth-leveranser.
Ungefär som kryptohacken, åtnjuter illegala företag som methproduktion sannolikt nordkoreansk statlig sponsring, vilket gör det troligt att de kommer att fortsätta obehindrat.
Källa: https://crypto.news/kaspersky-north-korean-hackers-mimic-crypto-vcs-in-new-phishing-scheme/