Η Microsoft προειδοποιεί ότι η βορειοκορεάτικη ομάδα hacking BlueNoroff δημιουργεί νέα υποδομή επίθεσης για επερχόμενες καμπάνιες κοινωνικής μηχανικής στο
LinkedIn
.
Αυτή η ομάδα απειλών με οικονομικά κίνητρα (που παρακολουθείται από τον Redmond ως Sapphire Sleet) έχει επίσης τεκμηριωμένο ιστορικό επιθέσεων κλοπής κρυπτονομισμάτων που στοχεύουν εργαζόμενους σε εταιρείες κρυπτονομισμάτων.
Αφού επέλεξαν τους στόχους τους μετά την αρχική επαφή στο LinkedIn, οι χάκερ BlueNoroff παρακάμπτουν τα συστήματά τους αναπτύσσοντας κακόβουλο λογισμικό κρυμμένο σε κακόβουλα έγγραφα που προωθούνται μέσω ιδιωτικών μηνυμάτων σε διάφορα κοινωνικά δίκτυα.
«Ο ηθοποιός απειλών που παρακολουθεί η Microsoft ως Sapphire Sleet, γνωστός για κλοπή κρυπτονομισμάτων μέσω κοινωνικής μηχανικής, έχει δημιουργήσει τις τελευταίες εβδομάδες νέους ιστότοπους που μεταμφιέζονται σε πύλες αξιολόγησης δεξιοτήτων, σηματοδοτώντας μια αλλαγή στις τακτικές του επίμονου ηθοποιού».
σύμφωνα με τους ειδικούς ασφαλείας της Microsoft Threat Intelligence
.
“Το Sapphire Sleet συνήθως βρίσκει στόχους σε πλατφόρμες όπως το LinkedIn και χρησιμοποιεί θέλγητρα που σχετίζονται με την αξιολόγηση δεξιοτήτων. Στη συνέχεια, ο παράγοντας απειλών μετακινεί επιτυχημένες επικοινωνίες με στόχους σε άλλες πλατφόρμες.”
Προηγουμένως, οι κρατικοί χάκερ της Βόρειας Κορέας είχαν δει να διανέμουν κακόβουλα συνημμένα απευθείας ή να χρησιμοποιούν συνδέσμους σε σελίδες που φιλοξενούνται σε νόμιμους ιστότοπους όπως το
GitHub
.
Ωστόσο, η Microsoft πιστεύει ότι ο γρήγορος εντοπισμός και η αφαίρεση των κακόβουλων αρχείων των εισβολέων από νόμιμες διαδικτυακές υπηρεσίες ώθησε τους χάκερ του BlueNoroff να δημιουργήσουν τους δικούς τους ιστότοπους ικανούς να φιλοξενούν κακόβουλα ωφέλιμα φορτία.
Αυτοί οι ιστότοποι προστατεύονται με κωδικό πρόσβασης για να εμποδίσουν τις προσπάθειες ανάλυσης και είναι καμουφλαρισμένοι ως πύλες αξιολόγησης δεξιοτήτων, παροτρύνοντας τους υπεύθυνους προσλήψεων να εγγραφούν για έναν λογαριασμό.
Ποιος είναι ο BlueNoroff;
Νωρίτερα αυτή την εβδομάδα, οι ερευνητές ασφαλείας της Jamf Threat Labs συνέδεσαν το BlueNoroff με το νέο κακόβουλο λογισμικό ObjCSshellz macOS που χρησιμοποιείται για την κάλυψη στοχευμένων Mac ανοίγοντας απομακρυσμένα κελύφη σε παραβιασμένες συσκευές.
Τα τελευταία χρόνια, η Kaspersky συνέδεσε το BlueNoroff με μια σειρά επιθέσεων εναντίον νεοφυών επιχειρήσεων κρυπτονομισμάτων και χρηματοπιστωτικών οργανισμών σε όλο τον κόσμο, συμπεριλαμβανομένων στις ΗΠΑ, τη Ρωσία, την Κίνα, την Ινδία, το Ηνωμένο Βασίλειο, την Ουκρανία, την Πολωνία, την Τσεχία, τα
Ηνωμένα Αραβικά Εμιράτα
, τη Σιγκαπούρη, την Εσθονία, το Βιετνάμ, τη Μάλτα. , τη Γερμανία και το Χονγκ Κονγκ.
Επιπλέον, το FBI απέδωσε το μεγαλύτερο hack κρυπτογράφησης στην
ιστορία
-την παραβίαση της γέφυρας δικτύου Ronin του Axie Infinity- στις ομάδες χάκερ Lazarus και BlueNoroff. Οι επιτιθέμενοι έκλεψαν 173.600 μάρκες Ethereum και 25,5 εκατομμύρια USDC, που ανέρχονται σε πάνω από 617 εκατομμύρια δολάρια.
Πριν από τέσσερα χρόνια, α
Έκθεση των Ηνωμένων Εθνών
Εκτίμησε ότι οι κρατικοί χάκερ της Βόρειας Κορέας, συμπεριλαμβανομένου του BlueNoroff, είχαν ήδη κλέψει περίπου 2 δισεκατομμύρια δολάρια σε τουλάχιστον 35 κυβερνοεπιθέσεις που στοχεύουν τράπεζες και ανταλλακτήρια κρυπτονομισμάτων σε περισσότερες από δώδεκα χώρες.
Το 2019, το
Υπουργείο Οικονομικών
των ΗΠΑ επέβαλε επίσης κυρώσεις στην BlueNoroff και σε δύο άλλες βορειοκορεατικές ομάδες χάκερ (Lazarus Group και Andariel) για διοχέτευση κλεμμένων χρηματοοικονομικών περιουσιακών στοιχείων στην κυβέρνηση της Βόρειας Κορέας.
VIA:
bleepingcomputer.com
