CryptoCore Criminal Group har riktat kryptovalutautbyten i tre år
Användare och utbyten av kryptovaluta har varit inriktade på cyberbrottslingar de senaste åren. Medan vissa av attackerna utförs av brottslingar på låg nivå finns det också flera stora kampanjer som har resulterat i att miljoner stulits från offret. Säkerhetsforskare misstänker att de äntligen kan ha samlat in tillräckligt med information om en av de största organiserade brottsgrupperna som riktar sig mot kryptovalutabörser i Europa, Japan, Israel och USA. Gruppen, kallad CryptoCore, verkar ha band till den Nordkorea-baserade Advanced Persistent Threat (APT) skådespelaren Lazarus. Dessutom har CryptoCore-brottslingar påstås ha stulit över 200 000 000 dollar via sina attackkampanjer under de senaste tre åren.
De första spåren av CryptoCore Criminal Groups verksamhet går tillbaka till 2018 när de gick efter japanbaserade kryptovalutabörser. Målet nåddes genom skadliga e-postbilagor åtföljda av ett nätfiskemeddelande - de skickades till utbytesanställda. Enligt uppgift hade de skadliga e-postmeddelandena nyttolast som tidigare använts av Lazarus APT. Dessutom anses de nordkoreanska hackarna också vara ansvariga för utveckling och underhåll av nämnda skadliga program.
Kampanjerna i CryptoCore Criminal Group verkar vara helt ekonomiskt motiverade och de verkar inte ha några politiska motiv. Nyligen bytte deras attacker fokus mot israeliskt baserade kryptovalutabörser. Skurkarna litar ofta på fjärråtkomsttrojaner (RAT) och infostealers för att uppnå sina mål. Deras leveransmetoder och droppare fortsätter att utvecklas, men likheterna med tidigare Lazarus-attacker är obestridliga.