Северокорейские хакеры выдают себя за криптовалютные венчурные компании в новой фишинговой схеме — Kaspersky

BlueNoroff, входящая в северокорейскую государственную группировку Lazarus Group, вновь начала атаковать венчурные фирмы, крипто-стартапы и банки. Лаборатория кибербезопасности Касперского сообщила, что группа проявляет всплеск активности после затишья в течение большей части года и тестирует новые методы доставки своего вредоносного ПО.

BlueNoroff создала более 70 поддельных доменов, имитирующих венчурные фирмы и банки. Большинство подделок выдавали себя за известные японские компании, но некоторые также выдавали себя за американские и вьетнамские компании.

BlueNoroff представляет новые методы обхода MoTW

— Pentesting News (@PentestingN) 27 декабря 2022 г.

Согласно отчету, группа экспериментирует с новыми типами файлов и другими методами доставки вредоносного ПО. После внедрения вредоносная программа обходит предупреждения Windows Mark-of-the-Web о загрузке контента, а затем «перехватывает крупные криптовалютные переводы, меняет адрес получателя и доводит сумму перевода до предела, по сути, опустошая счет за одну транзакцию».

По данным «Касперского», проблема с субъектами угроз усугубляется. Исследователь Сонгсу Парк сказал в заявлении:

«Наступающий год будет отмечен кибер-эпидемиями с наибольшим воздействием, сила которых никогда не была невиданной ранее. […] На пороге новых вредоносных кампаний предприятия должны быть защищены как никогда».

Подгруппа BlueNoroff группы Lazarus была впервые выявлена после того, как в 2016 году она атаковала центральный банк Бангладеш. Она входила в группу северокорейских киберугроз, о которых Агентство по кибербезопасности и защите инфраструктуры США и Федеральное бюро расследований упомянули в предупреждении, выпущенном в апреле.

Северокорейские угрозы, связанные с группой Lazarus Group, в последние недели также были замечены в попытках кражи неиграбельных токенов. Эта группа ответственна за эксплойт Ronin Bridge стоимостью 600 миллионов долларов в марте.