Ny kryptotyverikampanje jakter på storvilt
En ny kampanje som ikke tar sikte på enkeltpersoners kryptolommebøker, men mot lommebøker til større organisasjoner er i gang. Det nye ondsinnede pushet har fått kallenavnet SnatchCrypto og antas å være støttet av nordkoreanske statsmidler.
I følge sikkerhetsforskerne som avslørte SnatchCrypto-kampanjen, ser enheten bak det hele ut til å være en avlegger av det nordkoreansk-støttede Lazarus APT, kalt BlueNoroff. Lazarus er den større overordnede enheten som har skapt overskrifter flere ganger de siste årene. Lazarus-operatører spesialiserer seg på å treffe finansinstitusjoner og plattformer, så det er ikke rart at de også vil være involvert i SnatchCrypto.
Så langt har BlueNoroff utført flere angrep mot organisasjoner knyttet til kryptovaluta for øvrig. Det forskerne bemerket er at BlueNoroff APT tar mye tid og forbereder seg veldig nøye når de henvender seg til ofrene, og sannsynligvis bruker en blanding av sosial ingeniørkunst og falsk, men troverdig forretningskorrespondanse for å få tilliten til noen av ofrenes medlemmer.
ZDNet siterte forskerne som publiserte en artikkel om BlueNoroff, og uttalte at de går så langt som å finne "interessetemaer" innenfor den målrettede organisasjonen og deretter sende ut ondsinnede dokumenter og filer som er nært knyttet til emnet for intern diskusjon i selskapet. Dette er et nivå av dedikasjon og presisjon få APT-er kan vise.
Angrepene brukt av BlueNoroff bruker en sårbarhet for kjøring av ekstern kode for å hente nyttelasten fra en server. Systemtilgangsrettigheter eskaleres før hovednyttelasten distribueres.
En veldig interessant godbit som BlueNoroff gjør i angrepet er at de har en VisualBasic-makro som brukes til å fjerne koblingen til den skadelige nyttelasten som er lagret i det originale dokumentet som ble brukt til å starte angrepet. Det betyr at filen for all del er rengjort og trygg, noe som skaper ytterligere komplikasjoner for sikkerhetsforskere.
Angrepet avsluttes med utplassering av et skreddersydd bakdørsverktøy som overvåker vertssystemet og prøver å avskjære og avbryte når det oppdager en kryptovalutatransaksjon.
I følge statistikk samlet av sikkerhetsforskere med Chainalysis, klarte nordkoreanske trusselaktører i løpet av 2021 å stjele 400 millioner dollar i krypto.
