Ny kryptostöldkampanj jagar storvilt
En ny kampanj som inte syftar till individers kryptoplånböcker utan mot större organisationers plånböcker är på gång. Den nya illvilliga pushen har fått smeknamnet SnatchCrypto och tros stödjas av nordkoreanska statliga medel.
Enligt säkerhetsforskarna som avslöjade SnatchCrypto-kampanjen verkar enheten bakom det hela vara en utlöpare av den nordkoreansk-stödda Lazarus APT, kallad BlueNoroff. Lazarus är den större moderenheten som har skapat rubriker flera gånger under de senaste åren. Lazarus-operatörer är specialiserade på att träffa finansiella institutioner och plattformar, så det är inte konstigt att de också skulle vara involverade i SnatchCrypto.
Hittills har BlueNoroff genomfört flera attacker mot organisationer som är anslutna till kryptovaluta i stort. Vad forskare noterade är att BlueNoroff APT tar mycket tid och förbereder sig mycket noggrant när de närmar sig sina offer och använder sannolikt en blandning av social ingenjörskonst och falsk men trovärdig affärskorrespondens för att vinna förtroende hos några av offrets medlemmar.
ZDNet citerade forskarna som publicerade en artikel om BlueNoroff, och uppgav att de går så långt som att peka ut "ämnen av intresse" inom den riktade organisationen och sedan skicka ut skadliga dokument och filer som är nära knutna till ämnet för intern företagsdiskussion. Detta är en nivå av hängivenhet och precision som få APT:er kan visa.
Attackerna som används av BlueNoroff använder en sårbarhet för exekvering av fjärrkod för att ta nyttolasten från en server. Systemåtkomstprivilegier eskaleras innan den huvudsakliga nyttolasten distribueras.
En mycket intressant sak som BlueNoroff gör i sin attack är att de har ett VisualBasic-makro som används för att ta bort länken till den skadliga nyttolasten som är lagrad i originaldokumentet som användes för att starta attacken. Det innebär att filen i allt väsentligt är rensad och säker, vilket skapar ytterligare komplikationer för säkerhetsforskare.
Attacken avslutas med utplaceringen av ett skräddarsytt bakdörrsverktyg som övervakar värdsystemet och försöker avlyssna och ingripa när det upptäcker en kryptovalutatransaktion.
Enligt statistik som sammanställts av säkerhetsforskare med Chainalysis, lyckades nordkoreanska hotaktörer under loppet av 2021 stjäla häpnadsväckande 400 miljoner dollar i krypto.
