Új kriptolopás-kampány vadászik a nagyvadra
Egy új kampány indul, amely nem a magánszemélyek, hanem a nagyobb szervezetek pénztárcáját célozza meg. Az új rosszindulatú push a SnatchCrypto becenevet kapta, és feltételezések szerint észak-koreai állami pénzeszközök támogatják.
A SnatchCrypto kampányt nyilvánosságra hozó biztonsági kutatók szerint úgy tűnik, hogy az egész mögött álló entitás az észak-koreai támogatású Lazarus APT, a BlueNoroff leszármazottja. A Lazarus a nagyobb anyavállalat, amely az elmúlt években többször is címlapra került. A Lazarus üzemeltetői a pénzintézetek és platformok ütésére specializálódtak, így nem csoda, ha ők is részt vennének a SnatchCryptoban.
A BlueNoroff eddig több támadást is végrehajtott a kriptovalutákkal kapcsolatos szervezetek ellen. A kutatók megjegyezték, hogy a BlueNoroff APT sok időt vesz igénybe, és nagyon körültekintően készül fel, amikor áldozataihoz közeledik, és valószínűleg szociális manipulációt és hamis, de hihető üzleti levelezést alkalmaz, hogy elnyerje az áldozat néhány tagjának bizalmát.
A ZDNet idézte azokat a kutatókat, akik a BlueNoroffról publikáltak, és kijelentették, hogy odáig mennek, hogy a megcélzott szervezeten belül meghatározzák az "érdekes témákat", majd rosszindulatú dokumentumokat és fájlokat küldenek ki, amelyek szorosan kötődnek a vállalati belső megbeszélések témájához. Ez az elhivatottság és a precizitás olyan szintje, amelyet kevés APT képes megjeleníteni.
A BlueNoroff által alkalmazott támadások távoli kódvégrehajtási biztonsági rést alkalmaznak, hogy megragadják a kiszolgáló hasznos terhét. A rendszer-hozzáférési jogosultságok a fő hasznos adat telepítése előtt eszkalálódnak.
Az egyik nagyon érdekes apróság, amit a BlueNoroff tesz a támadásukban, hogy van egy VisualBasic makrójuk, amely a támadás indításához használt eredeti dokumentumban tárolt rosszindulatú rakományra mutató hivatkozás eltávolítására szolgál. Ez azt jelenti, hogy a fájl minden célból meg van tisztítva és biztonságos, ami további bonyodalmakat okoz a biztonsági kutatóknak.
A támadás egy egyedi készítésű hátsó ajtó eszköz telepítésével ér véget, amely figyeli a gazdagép rendszert, és megpróbálja elfogni és beavatkozni, ha kriptovaluta tranzakciót észlel.
A biztonsági kutatók és a Chainalysis által összegyűjtött statisztikák szerint 2021 folyamán az észak-koreai fenyegetés szereplőinek elképesztő 400 millió dollár értékű kriptográfiai értékét sikerült ellopniuk.