Une partie du groupe Lazarus a développé une infrastructure complexe, des exploits et des implants de logiciels malveillants. L'acteur de menace BlueNoroff draine les comptes de démarrage de crypto-monnaie. BlueNoroff utilise une méthodologie d'attaque complète.
Les chercheurs en sécurité de Kaspersky ont découvert une série d'attaques de l'acteur de la menace persistante avancée (APT) BlueNoroff contre les petites et moyennes entreprises du monde entier. Les victimes ont subi d'importantes pertes de crypto-monnaie au cours du processus. Baptisée "SnatchCrypto", la campagne cible diverses entreprises impliquées dans les crypto-monnaies ainsi que les contrats intelligents, DeFi, la blockchain et l'industrie FinTech.
Dans la dernière campagne de l'acteur de la menace BlueNoroff, les attaquants ont subtilement exploité la confiance des employés dans les entreprises cibles en leur envoyant une porte dérobée Windows à part entière avec des capacités de surveillance sous le couvert d'un "contrat" ou d'un autre fichier commercial. Afin de vider le portefeuille crypto d'une victime, l'acteur a développé des ressources étendues et malveillantes - y compris une infrastructure complexe, des exploits et des implants de logiciels malveillants.
BlueNoroff et Lazare
BlueNoroff fait partie du groupe Lazarus et tire parti de sa structure diversifiée et de ses technologies d'attaque sophistiquées. Ce groupe APT est connu pour avoir attaqué des banques et des serveurs connectés à SWIFT et a même participé à la création de sociétés écrans pour développer des logiciels de crypto-monnaie [2]. Les clients trompés ont ensuite installé des applications d'apparence légitime et après un certain temps, ils ont reçu des mises à jour, y compris une porte dérobée.
Cette branche du groupe APT s'est depuis déplacée pour attaquer les startups de crypto-monnaie. Étant donné que la plupart des entreprises de crypto-monnaie sont des startups de petite ou moyenne taille, elles ne peuvent pas investir beaucoup d'argent dans leur système de sécurité interne. Lazarus l'a reconnu et l'exploite grâce à des méthodes sophistiquées d'ingénierie sociale.
BlueNoroff se fait passer pour une société de capital-risque
Pour gagner la confiance de la victime, BlueNoroff se fait passer pour une société de capital-risque. Les chercheurs de Kaspersky ont découvert plus de 15 sociétés de capital-risque dont les noms de marque et les noms des employés ont été utilisés à mauvais escient lors de la campagne SnatchCrypto. Selon les experts en sécurité, les vraies entreprises n'ont rien à voir avec cette attaque ou les e-mails. La sphère crypto des startups a été choisie par les cybercriminels pour une raison précise : les startups reçoivent souvent des lettres ou des fichiers de sources inconnues. Pour cette raison, il est tout à fait possible qu'une société de capital-risque vous envoie un contrat ou d'autres fichiers liés à l'entreprise. L'acteur Lazarus APT l'utilise comme un leurre pour inciter les victimes à ouvrir la pièce jointe dans l'e-mail - un document prenant en charge les macros.
Si un tel document est ouvert hors ligne, ces fichiers ne constituent pas une menace. Cependant, si un ordinateur est connecté à Internet au moment où le fichier est ouvert, un autre document prenant en charge les macros est téléchargé sur l'appareil de la victime et un logiciel malveillant est installé.
BlueNoroff utilise une méthodologie d'attaque complète
Le groupe BlueNoroff APT dispose de diverses méthodes dans son arsenal de compromis et conçoit la chaîne d'infection en conséquence en fonction de la situation. Outre les documents Word malveillants, l'acteur distribue également des logiciels malveillants déguisés en fichiers de raccourcis Windows compressés. Cela renvoie les informations de la victime et l'agent Powershell, créant une porte dérobée. A travers ceux-ci, BlueNoroff utilise d'autres outils malveillants pour surveiller la victime : un enregistreur de frappe et un outil de capture d'écran.
Les agresseurs traquent ensuite leurs victimes pendant des semaines et des mois. Ils collectent les frappes au clavier et surveillent les opérations quotidiennes de l'utilisateur tout en planifiant une stratégie de vol financier. Une fois qu'ils ont trouvé une cible importante qui utilise une extension de navigateur populaire pour gérer les portefeuilles cryptographiques (comme les extensions Metamask), ils remplacent son composant principal par une fausse version.
Le processus de transaction est intercepté et modifié
Selon les experts de Kaspersky, les attaquants reçoivent une notification dès qu'un transfert important est détecté. Lorsque l'utilisateur compromis tente de transférer un montant vers un autre compte, il intercepte le processus de transaction et insère sa propre logique. Pour terminer le paiement initié, l'utilisateur clique alors sur le bouton « Approuver ». À ce moment, les cybercriminels changent l'adresse du destinataire et maximisent le montant de la transaction ; le compte est vidé d'un coup.
"Alors que les attaquants continuent de trouver de nouvelles façons de compromettre le numérique, même les petites entreprises devraient former leurs employés aux pratiques de base en matière de cybersécurité", a déclaré Seongsu Park, chercheur principal en sécurité au sein de l'équipe mondiale de recherche et d'analyse (GReAT) de Kaspersky. "En particulier lorsque les entreprises utilisent des crypto-monnaies, il est important de noter qu'elles constituent une cible attrayante pour les acteurs APT et les cybercriminels. Par conséquent, cette zone est particulièrement digne de protection.
Plus sur Kaspersky.com
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/