BlueNoroff, parte del gruppo Lazarus sponsorizzato dallo stato nordcoreano, ha rinnovato il suo targeting per società di venture capital, startup crittografiche e banche. Laboratorio di sicurezza informatica Kaspersky segnalati che il gruppo ha mostrato un picco di attività dopo una pausa per la maggior parte dell'anno e sta testando nuovi metodi di consegna per il suo malware.
BlueNoroff ha creato più di 70 domini falsi che imitano società di capitale di rischio e banche. La maggior parte dei falsi si presentava come note società giapponesi, ma alcuni assumevano anche l'identità di società statunitensi e vietnamite.
BlueNoroff introduce nuovi metodi bypassando MoTWhttps://t.co/C6q0l1mWqo
— Notizie sul Pentesting (@PentestingN) Dicembre 27, 2022
Il gruppo ha sperimentato nuovi tipi di file e altri metodi di distribuzione del malware, secondo il rapporto. Una volta installato, il suo malware elude gli avvisi di sicurezza di Windows Mark-of-the-Web sul download di contenuti e poi continua a "intercettare grandi trasferimenti di criptovaluta, cambiare l'indirizzo del destinatario e spingere l'importo del trasferimento al limite, essenzialmente prosciugando l'account in una singola transazione”.
Correlato: Lazarus della Corea del Nord dietro anni di attacchi crittografici in Giappone — Polizia
Secondo Kaspersky, il problema con gli attori delle minacce sta peggiorando. Ricercatore Seongsu Park disse in una dichiarazione:
“Il prossimo anno sarà segnato dalle epidemie informatiche con il maggiore impatto, la cui forza non è mai stata vista prima. […] Sulla soglia di nuove campagne dannose, le aziende devono essere più sicure che mai.”
Il sottogruppo BlueNoroff di Lazarus è stato identificato per la prima volta dopo aver attaccato la banca centrale del Bangladesh nel 2016. Faceva parte di un gruppo di minacce informatiche nordcoreane della US Cybersecurity and Infrastructure Security Agency e del Federal Bureau of Investigation menzionato in un avviso emesso nel mese di aprile.
Gli attori delle minacce nordcoreane associati al gruppo Lazarus lo sono stati avvistato mentre cercava di rubare token non fungibili anche nelle ultime settimane. Il gruppo era responsabile dei 600 milioni di dollari Exploit di Ronin Bridge a marzo.
Fonte: https://cointelegraph.com/news/north-korean-hackers-are-pretending-to-be-crypto-vcs-in-new-phishing-scheme-kaspersky