Νέα καμπάνια Crypto Theft κυνηγά για μεγάλο παιχνίδι
Μια νέα καμπάνια που στοχεύει όχι σε κρυπτογραφικά πορτοφόλια ιδιωτών αλλά σε πορτοφόλια μεγαλύτερων οργανισμών βρίσκεται σε εξέλιξη. Η νέα κακόβουλη ώθηση έλαβε το ψευδώνυμο SnatchCrypto και πιστεύεται ότι υποστηρίζεται από κρατικά κεφάλαια της Βόρειας Κορέας.
Σύμφωνα με τους ερευνητές ασφαλείας που αποκάλυψαν την εκστρατεία SnatchCrypto, η οντότητα πίσω από το όλο θέμα φαίνεται να είναι ένα παρακλάδι του υποστηριζόμενου από τη Βόρεια Κορέα Lazarus APT, που ονομάζεται BlueNoroff. Η Lazarus είναι η μεγαλύτερη μητρική οντότητα που έχει γίνει πρωτοσέλιδο πολλές φορές τα τελευταία χρόνια. Οι χειριστές Lazarus ειδικεύονται στο να χτυπούν χρηματοπιστωτικά ιδρύματα και πλατφόρμες, επομένως δεν είναι περίεργο που θα εμπλακούν και στο SnatchCrypto.
Μέχρι στιγμής, το BlueNoroff έχει πραγματοποιήσει πολλαπλές επιθέσεις εναντίον οργανισμών που συνδέονται με κρυπτονομίσματα γενικά. Αυτό που παρατήρησαν οι ερευνητές είναι ότι το BlueNoroff APT παίρνει πολύ χρόνο και προετοιμάζεται πολύ προσεκτικά όταν πλησιάζει τα θύματά του και πιθανότατα χρησιμοποιεί ένα μείγμα κοινωνικής μηχανικής και ψεύτικης αλλά πιστευτής επιχειρηματικής αλληλογραφίας για να κερδίσει την εμπιστοσύνη ορισμένων από τα μέλη του θύματός του.
Το ZDNet ανέφερε τα λόγια των ερευνητών που δημοσίευσαν μια εργασία για το BlueNoroff, δηλώνοντας ότι φτάνουν στο σημείο να εντοπίσουν "θέματα ενδιαφέροντος" εντός του στοχευόμενου οργανισμού και στη συνέχεια να στείλουν κακόβουλα έγγραφα και αρχεία που συνδέονται στενά με το θέμα της εσωτερικής συζήτησης της εταιρείας. Αυτό είναι ένα επίπεδο αφοσίωσης και ακρίβειας που λίγα APT μπορούν να εμφανίσουν.
Οι επιθέσεις που χρησιμοποιεί το BlueNoroff χρησιμοποιούν μια ευπάθεια εκτέλεσης απομακρυσμένου κώδικα για να αρπάξουν το ωφέλιμο φορτίο από έναν διακομιστή. Τα δικαιώματα πρόσβασης στο σύστημα κλιμακώνονται πριν από την ανάπτυξη του κύριου ωφέλιμου φορτίου.
Ένα πολύ ενδιαφέρον στοιχείο που κάνει ο BlueNoroff στην επίθεσή του είναι ότι έχει μια μακροεντολή VisualBasic που χρησιμοποιείται για την αφαίρεση του συνδέσμου προς το κακόβουλο ωφέλιμο φορτίο που είναι αποθηκευμένο στο αρχικό έγγραφο που χρησιμοποιείται για την έναρξη της επίθεσης. Αυτό σημαίνει ότι το αρχείο είναι, για όλες τις προθέσεις και σκοπούς, καθαρό και ασφαλές, γεγονός που δημιουργεί περαιτέρω περιπλοκές για τους ερευνητές ασφάλειας.
Η επίθεση ολοκληρώνεται με την ανάπτυξη ενός προσαρμοσμένου εργαλείου backdoor που παρακολουθεί το κεντρικό σύστημα και προσπαθεί να παρεμποδίσει και να παρεμποδίσει όταν ανιχνεύσει μια συναλλαγή κρυπτονομίσματος.
Σύμφωνα με στατιστικά στοιχεία που συγκέντρωσαν ερευνητές ασφαλείας με το Chainalysis, κατά τη διάρκεια του 2021 οι Βορειοκορεάτες παράγοντες απειλών κατάφεραν να κλέψουν ένα εκπληκτικό ποσό 400 εκατομμυρίων δολαρίων σε κρυπτογράφηση.
