Nauja kriptovaliutų kampanija, skirta didelio žaidimo medžioklei
Vyksta nauja kampanija, skirta ne asmenų kriptovaliutų piniginėms, o didesnių organizacijų piniginėms. Naujam kenkėjiškam postūmiui buvo suteiktas slapyvardis SnatchCrypto ir manoma, kad jį remia Šiaurės Korėjos valstybės lėšos.
Saugumo tyrinėtojų, atskleidusių „SnatchCrypto“ kampaniją, teigimu, atrodo, kad už viso to slypi Šiaurės Korėjos remiamo Lazarus APT, vadinamo BlueNoroff, atšaka. „Lazarus“ yra didesnė pagrindinė įmonė, kuri per pastaruosius metus kelis kartus pateko į antraštes. „Lazarus“ operatoriai specializuojasi smogdami finansinėms institucijoms ir platformoms, todėl nenuostabu, kad jie taip pat įsitrauktų į „SnatchCrypto“.
Iki šiol „BlueNoroff“ surengė daugybę atakų prieš organizacijas, susijusias su kriptovaliuta. Tyrėjai pastebėjo, kad „BlueNoroff APT“ užtrunka daug laiko ir labai kruopščiai ruošiasi kreipdamasi į savo aukas ir greičiausiai naudoja socialinę inžineriją ir netikrą, bet patikimą verslo susirašinėjimą, kad įgytų kai kurių aukos narių pasitikėjimą.
„ZDNet“ citavo tyrėjus, paskelbusius straipsnį apie „BlueNoroff“, teigdami, kad jie siekia tiksliai nustatyti „dominančias temas“ tikslinėje organizacijoje ir tada išsiųsti kenkėjiškus dokumentus ir failus, glaudžiai susijusius su įmonės vidaus diskusijų tema. Tai atsidavimo ir tikslumo lygis, kurį gali parodyti nedaugelis APT.
„BlueNoroff“ naudojamos atakos naudoja nuotolinio kodo vykdymo pažeidžiamumą, kad būtų galima paimti naudingą apkrovą iš serverio. Prieigos prie sistemos privilegijos padidinamos prieš diegiant pagrindinį naudingąjį krovinį.
Viena labai įdomi smulkmena, kurią „BlueNoroff“ daro savo atakoje, yra ta, kad jie turi „VisualBasic“ makrokomandą, kuri naudojama norint pašalinti nuorodą į kenksmingą naudingą apkrovą, saugomą originaliame dokumente, naudojamame atakai pradėti. Tai reiškia, kad failas visais tikslais yra išvalytas ir saugus, o tai kelia papildomų komplikacijų saugumo tyrinėtojams.
Ataka baigiama įdiegus pagal užsakymą sukurtą užpakalinių durų įrankį, kuris stebi pagrindinę sistemą ir bando perimti bei įsiterpti, kai aptinka kriptovaliutos operaciją.
Remiantis saugumo tyrėjų su „Chainalysis“ surinkta statistika, per 2021 m. Šiaurės Korėjos grėsmių veikėjams pavyko pavogti neįtikėtinus 400 mln. USD kriptovaliutų.