新的加密货币盗窃活动寻找大型游戏
一项针对个人加密钱包而是针对大型组织钱包的新活动正在进行中。新的恶意推送被赋予了 SnatchCrypto 的绰号,据信得到了朝鲜国家基金的支持。
根据披露 SnatchCrypto 活动的安全研究人员的说法,整个事件背后的实体似乎是朝鲜支持的 Lazarus APT 的一个分支,称为 BlueNoroff。 Lazarus 是较大的母公司,在过去几年中多次成为头条新闻。 Lazarus 运营商专注于打击金融机构和平台,因此他们也会参与 SnatchCrypto 也就不足为奇了。
到目前为止,BlueNoroff 已经对与加密货币相关的组织发起了多次攻击。研究人员指出,BlueNoroff APT 需要花费大量时间,并且在接近其受害者时准备得非常仔细,并且可能会使用社会工程学和虚假但可信的商业信函来获得一些受害者成员的信任。
ZDNet 援引在 BlueNoroff 上发表论文的研究人员称,他们甚至在目标组织内查明“感兴趣的话题”,然后发送与公司内部讨论话题密切相关的恶意文档和文件。这是很少有 APT 可以表现出的奉献精神和精确度。
BlueNoroff 采用的攻击利用远程代码执行漏洞从服务器获取有效负载。在部署主要有效负载之前,系统访问权限会升级。
BlueNoroff 在他们的攻击中所做的一个非常有趣的消息是,他们有一个 VisualBasic 宏,用于删除存储在用于启动攻击的原始文档中的恶意负载的链接。这意味着无论出于何种目的和目的,该文件都是干净且安全的,这给安全研究人员带来了进一步的复杂性。
攻击结束时部署了一个定制的后门工具,该工具监控主机系统,并在检测到加密货币交易时尝试拦截和干预。
根据 Chainalysis 安全研究人员整理的统计数据,在 2021 年期间,朝鲜威胁行为者成功窃取了令人难以置信的 4 亿美元加密货币。