A BlueNoroff, parte do Lazarus Group, patrocinado pelo estado norte-coreano, renovou seu foco em empresas de capital de risco, startups de criptomoedas e bancos. Laboratório de Cibersegurança Kaspersky relatado que o grupo mostrou um aumento na atividade após uma pausa na maior parte do ano e está testando novos métodos de entrega para seu malware.
A BlueNoroff criou mais de 70 domínios falsos que imitam empresas de capital de risco e bancos. A maioria das falsificações se apresentou como empresas japonesas conhecidas, mas algumas também assumiram a identidade de empresas norte-americanas e vietnamitas.
BlueNoroff apresenta novos métodos ignorando o MoTWhttps://t.co/C6q0l1mWqo
— Notícias sobre pentesting (@PentestingN) 27 de dezembro de 2022
O grupo vem experimentando novos tipos de arquivos e outros métodos de entrega de malware, de acordo com o relatório. Uma vez instalado, seu malware evita os avisos de segurança da Marca da Web do Windows sobre o download de conteúdo e, em seguida, “intercepta grandes transferências de criptomoedas, alterando o endereço do destinatário e empurrando o valor da transferência até o limite, essencialmente drenando a conta em uma única transação”.
Relacionado: Lazarus da Coreia do Norte por trás de anos de hacks de criptomoedas no Japão – Polícia
De acordo com a Kaspersky, o problema com os agentes de ameaças está piorando. Pesquisador Parque Seongsu dito em um comunicado:
“O próximo ano será marcado pelas epidemias cibernéticas de maior impacto, cuja força nunca foi vista. […] No limiar de novas campanhas maliciosas, as empresas devem estar mais seguras do que nunca.”
O subgrupo BlueNoroff de Lazarus foi identificado pela primeira vez depois de atacar o banco central de Bangladesh em 2016. Ele estava entre um grupo de ameaças cibernéticas norte-coreanas da Agência de Segurança Cibernética e Infraestrutura dos EUA e do Federal Bureau of Investigation. mencionado em um alerta emitido em abril.
Atores de ameaças norte-coreanos associados ao Lazarus Group foram visto tentando roubar tokens não fungíveis nas últimas semanas também. O grupo foi responsável pelos US$ 600 milhões Exploração da Ronin Bridge em março.
Fonte: https://cointelegraph.com/news/north-korean-hackers-are-pretending-to-be-crypto-vcs-in-new-phishing-scheme-kaspersky