Новая кампания по краже криптовалюты охотится за крупной дичью
Идет новая кампания, направленная не на кошельки частных лиц, а на кошельки более крупных организаций. Новый злонамеренный шаг получил название SnatchCrypto и, как полагают, поддерживается государственными фондами Северной Кореи.
По словам исследователей безопасности, которые раскрыли кампанию SnatchCrypto, организация, стоящая за всем этим, похоже, является ответвлением поддерживаемой Северной Кореей Lazarus APT под названием BlueNoroff. Lazarus — более крупная материнская компания, которая несколько раз попадала в заголовки газет за последние годы. Операторы Lazarus специализируются на атаках финансовых учреждений и платформ, поэтому неудивительно, что они также будут участвовать в SnatchCrypto.
На данный момент BlueNoroff провел несколько атак на организации, связанные с криптовалютой в целом. Исследователи отметили, что APT BlueNoroff требует много времени и очень тщательно готовится при обращении к своим жертвам и, вероятно, использует смесь социальной инженерии и фальшивой, но правдоподобной деловой переписки, чтобы завоевать доверие некоторых членов своей жертвы.
ZDNet цитирует исследователей, опубликовавших статью о BlueNoroff, в которой говорится, что они заходят так далеко, что определяют «интересующие темы» в целевой организации, а затем рассылают вредоносные документы и файлы, тесно связанные с темой внутреннего обсуждения компании. Это уровень самоотверженности и точности, который могут продемонстрировать немногие APT.
Атаки, используемые BlueNoroff, используют уязвимость удаленного выполнения кода для захвата полезной нагрузки с сервера. Права доступа к системе повышаются перед развертыванием основной полезной нагрузки.
Один очень интересный момент, который BlueNoroff делает в своей атаке, заключается в том, что у них есть макрос VisualBasic, который используется для удаления ссылки на вредоносную полезную нагрузку, хранящуюся в исходном документе, используемом для начала атаки. Это означает, что файл, по сути, очищен и безопасен, что создает дополнительные сложности для исследователей безопасности.
Атака завершается развертыванием специального бэкдора, который отслеживает хост-систему и пытается перехватить и вмешаться, когда обнаруживает транзакцию криптовалюты.
Согласно статистике, собранной исследователями безопасности с Chainalysis, в течение 2021 года северокорейским злоумышленникам удалось украсть ошеломляющие 400 миллионов долларов в криптовалюте.