Nowe polowania na kampanię Crypto Theft dla Big Game
Trwa nowa kampania, której celem nie są portfele kryptograficzne osób fizycznych, ale portfele większych organizacji. Nowy złośliwy atak otrzymał przydomek SnatchCrypto i uważa się, że jest wspierany przez fundusze państwowe Korei Północnej.
Według badaczy bezpieczeństwa, którzy ujawnili kampanię SnatchCrypto, podmiotem stojącym za tym wszystkim wydaje się być odgałęzienie wspieranego przez Koreę Północną APT Lazarus, o nazwie BlueNoroff. Lazarus jest większą jednostką dominującą, która wielokrotnie pojawiała się na pierwszych stronach gazet w ciągu ostatnich lat. Operatorzy Lazarusa specjalizują się w atakowaniu instytucji finansowych i platform, więc nic dziwnego, że byliby również zaangażowani w SnatchCrypto.
Do tej pory BlueNoroff przeprowadził wiele ataków na organizacje związane z kryptowalutami. Badacze zauważyli, że BlueNoroff APT zajmuje dużo czasu i przygotowuje się bardzo ostrożnie do kontaktu ze swoimi ofiarami i prawdopodobnie wykorzystuje mieszankę socjotechniki i fałszywej, ale wiarygodnej korespondencji biznesowej, aby zdobyć zaufanie niektórych członków ofiary.
ZDNet zacytował badaczy, którzy opublikowali artykuł na temat BlueNoroff, stwierdzając, że posuwają się oni tak daleko, aby wskazać „tematyki zainteresowania” w ramach atakowanej organizacji, a następnie rozsyłać złośliwe dokumenty i pliki ściśle związane z tematem wewnętrznej dyskusji firmy. Jest to poziom poświęcenia i precyzji, które może wyświetlić niewiele APTów.
Ataki stosowane przez BlueNoroff wykorzystują lukę umożliwiającą zdalne wykonanie kodu, aby pobrać ładunek z serwera. Uprawnienia dostępu do systemu są eskalowane przed wdrożeniem głównego ładunku.
Jedną z bardzo interesujących ciekawostek, które BlueNoroff wykorzystuje w swoim ataku, jest to, że mają makro VisualBasic, które służy do usuwania łącza do złośliwego ładunku przechowywanego w oryginalnym dokumencie użytym do rozpoczęcia ataku. Oznacza to, że plik jest pod każdym względem wyczyszczony i bezpieczny, co stwarza dalsze komplikacje dla badaczy bezpieczeństwa.
Atak kończy się wdrożeniem niestandardowego narzędzia typu backdoor, które monitoruje system hosta i próbuje przechwycić i wtrącić się, gdy wykryje transakcję kryptowalutową.
Według statystyk zebranych przez badaczy bezpieczeństwa z Chainalysis, w 2021 roku północnokoreańscy cyberprzestępcy zdołali ukraść oszałamiające 400 milionów dolarów w kryptowalutach.