Снова на сцене
Одно из подразделение хакерской группировки Lazarus, которая предположительно связана со спецслужбами Северной Кореи, усиленно атакует венчурные инвестиционные фирмы, криптостартапы и банки. «Лаборатория Касперского» присвоила этой группе название BlueNoroff и отметила, что хакеры сами выдают себя за венчурных и криптоинвесторов.
Группа BlueNoroff почти не проявляла себя в течение 2022 г., затем вдруг резко активизировалась: злоумышленники создали более 70 поддельных доменов, якобы связанных с фирмами венчурного капитала и банками. В большей части случаев сайты выдаются за ресурсы известных японских компаний, но встречаются и домены, имитирующие американские или вьетнамские организации. Эти домены используются в последующих фишинговых атаках.
Кроме этого, BlueNoroff экспериментирует с новыми методами обхода защиты Microsoft Windows, в частности предупреждения защитного механизма, связанных с пометкой Mark-of-the-Web (MotW). Она указывает на то, что файл был загружен из Сети и может представлять угрозу для безопасности пользователя.
Хакеры Северной Кореи обчищают владельцев криптоактивов
Как указывается в публикации «Касперского», для обхода MotW, злоумышленники используют файлы .iso (образы оптических дисков) и .vhd (виртуальные жесткие диски). Это уже довольно распространённая тактика обхода MotW, и BlueNoroff используют ее, по-видимому, весьма успешно.
Новые типы файлов
Кроме того, группа опробовал несколько разных типов файлов для усовершенствования своих способов доставки вредоносного ПО.
«Мы наблюдали новый скрипт Visual Basic, ранее неизвестные batch-файл и исполняемый файл под Windows. По-видимому, злоумышленники, стоящие за BlueNoroff, расширяют свой арсенал доставки вредоносов или экспериментируют с новыми типами файлов, чтобы сделать эту доставку более эффективной», — говорится в публикации «Касперского».
После обхода защитного механизма, вредоносы BlueNoroff перехватывают крупные криптотранзакции, подменяют адрес получателя и размеры переводимых средств, вплоть до того, чтобы разом полностью обчищать его.
Впервые группировка BlueNoroff попала в поле зрение экспертов по безопасности в ходе атаки на центральный банк Бангладеша в 2016 г.
В 2022 г. жертвами BlueNoroff стало финансовое учреждение в ОАЭ, несколько бизнесов, связанных с криптоактивами, и другие финансовые компании. Атакована также как минимум одна венчурная компания в Японии.
Эксперты «Лаборатории Касперского» указывают, что хакеры BlueNoroff выкрали криптовалют на миллионы долларов, и скорее всего, в дальнейшем будут наращивать активность.
«Несмотря на заметный спад на рынке криптовалют и снижение их стоимости, северокорейские хакерские группы демонстрируют неснижающуюся заинтересованность в них, — говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. — С помощью криптоактивов Северная Корея пытается компенсировать ущерб от международных санкций и финансировать свои военные программы. Ввиду падения стоимости крипто относительно фиатных валют, красть приходится все больше, и эта тенденция, скорее всего, сохранится в обозримом будущем».