Grupa przestępcza CryptoCore od 3 lat celuje w giełdy kryptowalut

Użytkownicy i giełdy kryptowalut byli od kilku lat celem cyberprzestępców. Podczas gdy niektóre ataki są przeprowadzane przez przestępców niskiego szczebla, istnieje również wiele kampanii na dużą skalę, w wyniku których ofiary zostały skradzione miliony. Badacze bezpieczeństwa podejrzewają, że mogli w końcu zgromadzić wystarczającą ilość informacji o jednej z głównych zorganizowanych grup przestępczych atakujących giełdy kryptowalut w Europie, Japonii, Izraelu i Stanach Zjednoczonych. Wydaje się, że grupa, nazwana CryptoCore, ma powiązania z działającym w Korei Północnej aktorem Advanced Persistent Threat (APT) Lazarusem. Ponadto przestępcy CryptoCore rzekomo ukradli ponad 200 milionów dolarów w ramach swoich kampanii ataków w ciągu ostatnich trzech lat.

Pierwsze ślady działalności CryptoCore Criminal Group sięgają 2018 roku, kiedy to pojawiły się po japońskich giełdach kryptowalut. Do celu zbliżano się poprzez złośliwe załączniki do wiadomości e-mail, którym towarzyszyła wiadomość phishingowa - zostały one wysłane do pracowników giełdy. Podobno szkodliwe wiadomości e-mail zawierały ładunki używane wcześniej przez APT Lazarus. Ponadto uważa się, że hakerzy z Korei Północnej są również odpowiedzialni za rozwój i utrzymanie wspomnianego złośliwego oprogramowania.

Kampanie CryptoCore Criminal Group wydają się być całkowicie motywowane finansowo i nie wydają się mieć żadnych motywacji politycznych. Niedawno ich ataki skierowały uwagę na izraelskie giełdy kryptowalut. Oszuści często polegają na trojanach zdalnego dostępu (RAT) i wykrywaczach informacji, aby osiągnąć swoje cele. Ich metody dostarczania i droppery wciąż ewoluują, ale podobieństwa z poprzednimi atakami Lazarus są niepodważalne.