Nieuwe crypto-diefstalcampagne jaagt op Big Game
Er is een nieuwe campagne aan de gang die niet gericht is op de crypto-wallets van individuen, maar op de portemonnees van grotere organisaties. De nieuwe kwaadaardige push heeft de bijnaam SnatchCrypto gekregen en wordt verondersteld te worden ondersteund door Noord-Koreaanse staatsfondsen.
Volgens de beveiligingsonderzoekers die de SnatchCrypto-campagne hebben onthuld, lijkt de entiteit achter het hele ding een uitloper te zijn van de door Noord-Korea gesteunde Lazarus APT, genaamd BlueNoroff. Lazarus is de grotere moedermaatschappij die de afgelopen jaren meerdere keren in het nieuws is geweest. Lazarus-operators zijn gespecialiseerd in het raken van financiële instellingen en platforms, dus het is geen wonder dat ze ook bij SnatchCrypto betrokken zouden zijn.
Tot nu toe heeft BlueNoroff meerdere aanvallen uitgevoerd tegen organisaties die in het algemeen met cryptocurrency zijn verbonden. Wat onderzoekers opmerkten, is dat de BlueNoroff APT veel tijd kost en zich zeer zorgvuldig voorbereidt bij het benaderen van zijn slachtoffers, en waarschijnlijk een mix van social engineering en valse maar geloofwaardige zakelijke correspondentie gebruikt om het vertrouwen van sommige leden van zijn slachtoffer te winnen.
ZDNet citeerde de onderzoekers die een paper over BlueNoroff publiceerden, waarin ze stelden dat ze zo ver gaan om "interesseonderwerpen" binnen de beoogde organisatie te lokaliseren en vervolgens kwaadaardige documenten en bestanden verzenden die nauw verband houden met het onderwerp van interne bedrijfsdiscussies. Dit is een niveau van toewijding en precisie dat maar weinig APT's kunnen tonen.
De aanvallen die door BlueNoroff worden uitgevoerd, maken gebruik van een kwetsbaarheid voor het uitvoeren van externe code om de payload van een server af te pakken. Toegangsrechten tot het systeem worden verhoogd voordat de belangrijkste payload wordt ingezet.
Een zeer interessant weetje dat BlueNoroff doet in hun aanval, is dat ze een VisualBasic-macro hebben die wordt gebruikt om de link naar de kwaadaardige payload te verwijderen die is opgeslagen in het originele document dat werd gebruikt om de aanval te starten. Dit betekent dat het bestand in alle opzichten opgeschoond en veilig is, wat voor verdere complicaties zorgt voor beveiligingsonderzoekers.
De aanval eindigt met de inzet van een op maat gemaakte backdoor-tool die het hostsysteem bewaakt en probeert te onderscheppen en in te grijpen wanneer het een cryptocurrency-transactie detecteert.
Volgens statistieken verzameld door beveiligingsonderzoekers met Chainalysis, slaagden Noord-Koreaanse dreigingsactoren er in 2021 in om een verbijsterende $ 400 miljoen aan crypto te stelen.
