ビッグゲームのための新しい暗号盗難キャンペーンハント
個人の暗号通貨ウォレットではなく、より大規模な組織のウォレットを対象とした新しいキャンペーンが進行中です。新しい悪意のあるプッシュにはSnatchCryptoというニックネームが付けられており、北朝鮮の国家資金によって支えられていると考えられています。
SnatchCryptoキャンペーンを開示したセキュリティ研究者によると、全体の背後にある実体は、BlueNoroffと呼ばれる北朝鮮が支援するLazarusAPTの分派であるように見えます。 Lazarusは、過去数年間に何度もヘッドラインを作成した、より大きな親エンティティです。 Lazarusのオペレーターは、金融機関やプラットフォームへの攻撃を専門としているため、SnatchCryptoにも関与するのも不思議ではありません。
これまでのところ、BlueNoroffは、暗号通貨全般に関連する組織に対する複数の攻撃を阻止してきました。研究者が指摘したのは、BlueNoroff APTは被害者にアプローチする際に多くの時間がかかり、非常に注意深く準備し、被害者のメンバーの信頼を得るためにソーシャルエンジニアリングと偽物であるが信頼できるビジネス通信を組み合わせて使用する可能性が高いことです。
ZDNetは、BlueNoroffに関する論文を発表した研究者の言葉を引用し、対象組織内の「関心のあるトピック」を特定し、社内の議論のトピックに密接に関連する悪意のあるドキュメントやファイルを送信すると述べました。これは、少数のAPTが表示できる献身と精度のレベルです。
BlueNoroffが採用した攻撃は、リモートコード実行の脆弱性を利用してサーバーからペイロードを取得します。システムアクセス権限は、メインペイロードが展開される前にエスカレートされます。
BlueNoroffが攻撃で行う非常に興味深いヒントの1つは、攻撃の開始に使用された元のドキュメントに格納されている悪意のあるペイロードへのリンクを削除するために使用されるVisualBasicマクロがあることです。これは、ファイルがすべての目的と目的でクリーンで安全であることを意味し、セキュリティ研究者にとってさらに複雑になります。
攻撃は、ホストシステムを監視し、暗号通貨トランザクションを検出したときに傍受して介入しようとするカスタムメイドのバックドアツールの展開で終了します。
セキュリティ研究者がChainalysisと照合した統計によると、2021年の間に、北朝鮮の脅威アクターは、驚異的な4億ドルの暗号通貨を盗むことができました。