Kaspersky, un laboratorio di sicurezza informatica, lancia l'allarme per le rinnovate tattiche di phishing del gruppo BlueNoroff. Gli hacker sono sponsorizzati dalla Corea del Nord, che è finanziariamente motivata a trarre profitto dai suoi attacchi informatici contro le società finanziarie, comprese le entità crittografiche.
BlueNoroff ha creato oltre 70 domini falsi che imitano capitale di rischio imprese e banche. La maggior parte degli impostori si presentava come note aziende giapponesi. Tuttavia, alcuni hanno affermato di provenire dagli Stati Uniti e dal Vietnam.
Il gruppo BlueNoroff spesso inietta malware attraverso documenti word e file di scelta rapida. Il loro ultimo malware può eludere il flag Mark-of-the-Web (MOTW).
Il rapporto di Kaspersky ha rivelato che il gruppo BlueNoroff sta sperimentando nuovi tipi di file e altri metodi di distribuzione del malware.
Una volta installato, il suo malware aggira gli avvisi di sicurezza MOTW di Windows sul download di contenuti. Successivamente, il virus intercetta grandi dimensioni criptovaluta trasferimenti, cambiando l'indirizzo del portafoglio del destinatario e aumentando l'importo del trasferimento fino al limite massimo, prosciugando il conto in un'unica transazione.
Seongsu Park, un ricercatore di Kaspersky, ha notato il picco di attacchi informatici nel 2023. Park ha sottolineato la necessità per le aziende di essere più sicure che mai man mano che emergono nuove campagne dannose.
La pressione degli hacker nordcoreani sulla sicurezza
I Minaccia nordcoreana l'attore ha colpito per la prima volta una banca centrale del Bangladesh nel 2016 ed è stato sul radar dei servizi di sicurezza informatica dei paesi degli Stati Uniti.
Il Federal Bureau of Investigation (FBI) degli Stati Uniti, in collaborazione con la Cybersecurity and Infrastructure Security Agency (CISA), ha consigliato a tutte le società di criptovaluta con sede in America di rafforzare la propria architettura di sicurezza contro potenziali aggressori provenienti da hacker nordcoreani.
Un rapporto sulla sicurezza di Group-IB ber di recente rivelato che dal 2017 oltre 882 milioni di dollari sono stati rubati dagli scambi di criptovalute dal gruppo Lazarus sponsorizzato dallo stato.
Il gruppo è presumibilmente responsabile dell'exploit del Ronin Bridge da 600 milioni di dollari a marzo ed è stato recentemente scoperto che utilizza oltre 500 domini per tentare il furto di token non fungibili (NFT).
Sfortunatamente, gli scambi di criptovalute non sono le uniche vittime di questi hacker coreani. Il rapporto Group-IB ha anche rivelato che oltre il 10% dei fondi delle campagne di offerta iniziale (ICO) è stato rubato dal 2017.
Parte di un'operazione più ampia?
La stanza 39, è un organizzazione segreta all'interno del governo nordcoreano responsabile della generazione di valuta estera da fonti illegali per il paese. Vi sono prove del suo coinvolgimento in una serie di attività illegali, tra cui la contraffazione e il traffico di stupefacenti, nonché altre iniziative illecite come vendita di armi e hacking.
I disertori nordcoreani affermano che è gestito da un edificio nella capitale Pyongyang e che sarebbe guidato da membri della famiglia Kim, che detengono il potere in Corea del Nord da tre generazioni.
L'esatta natura e la portata delle attività di Room 39 sono avvolte nel mistero, poiché opera in segreto a causa della natura illegale delle operazioni. È probabilmente una fonte chiave di finanziamento per la dittatura nordcoreana e si pensa che sia responsabile della generazione di centinaia di milioni di dollari di denaro oscuro ogni anno.
Si ritiene che l'organizzazione abbia ampi collegamenti internazionali e può esportare il lavoro degli schiavi alle nazioni europee per approfittare del costo del lavoro più elevato nell'UE rispetto all'Asia orientale.
La Corea del Nord è stata a lungo sotto sanzioni guidate dagli Stati Uniti, il che mette sotto pressione il suo accesso alle riserve di valuta estera. Trattando con attività illegali basate sul contante, la nazione è in grado di accedere a fondi liquidi, il che potrebbe essere il motivo per cui gli hacker nordcoreani stanno cercando più criptovalute al momento.
Un altro trambusto per la Corea del Nord
È impossibile sapere se Room 39 sia dietro gli attacchi in corso, ma la Corea del Nord è nota per questo affari loschi che raccolgono liquidità. Un'altra attività illecita di lunga data per la Corea del Nord è la produzione e l'esportazione di metanfetamine, che un disertore della nazione sostiene fosse fatto sotto gli ordini diretti di Kim Jong Il.
La meth è ampiamente utilizzata dalla popolazione locale. Secondo alcune stime, fino alla metà della popolazione della Corea del Nord usa il farmaco, anch'esso esportato in grandi quantità. I paesi vicini come la Cina sono i principali mercati di esportazione, ma altre nazioni come gli Stati Uniti hanno intercettato le spedizioni di metanfetamine nordcoreane.
Proprio come gli hack crittografici, le attività illegali come la produzione di metanfetamine probabilmente godono della sponsorizzazione dello stato nordcoreano, il che rende probabile che continueranno senza ostacoli.
Fonte: https://crypto.news/kaspersky-north-korean-hackers-mimic-crypto-vcs-in-new-phishing-scheme/