Lazarus समूह के एक भाग ने जटिल अवसंरचना, कारनामे और मैलवेयर इम्प्लांट विकसित किए। थ्रेट एक्टर ब्लूनॉरॉफ ने क्रिप्टोकरंसी स्टार्टअप अकाउंट को बंद कर दिया। BlueNoroff व्यापक आक्रमण पद्धति का उपयोग करता है।
Kaspersky सुरक्षा शोधकर्ताओं ने दुनिया भर में छोटे और मध्यम आकार के व्यवसायों पर उन्नत पर्सिस्टेंट थ्रेट (APT) अभिनेता BlueNoroff द्वारा हमलों की एक श्रृंखला का खुलासा किया है। पीड़ितों को इस प्रक्रिया में बड़े क्रिप्टोक्यूरेंसी नुकसान का सामना करना पड़ा। डब्ड 'स्नैचक्रिप्टो', अभियान क्रिप्टोकरंसीज के साथ-साथ स्मार्ट कॉन्ट्रैक्ट्स, डेफी, ब्लॉकचेन और फिनटेक उद्योग में शामिल विभिन्न कंपनियों को लक्षित करता है।
धमकी देने वाले अभिनेता ब्लूनोरॉफ के नवीनतम अभियान में, हमलावरों ने "अनुबंध" या अन्य व्यावसायिक फ़ाइल की आड़ में निगरानी क्षमताओं के साथ एक पूर्ण विंडोज बैकडोर भेजकर लक्ष्य कंपनियों में कर्मचारियों के भरोसे का सूक्ष्मता से शोषण किया। पीड़ित के क्रिप्टो वॉलेट को खाली करने के लिए, अभिनेता ने व्यापक और दुर्भावनापूर्ण संसाधन विकसित किए हैं - जिसमें जटिल अवसंरचना, शोषण और मैलवेयर प्रत्यारोपण शामिल हैं।
BlueNoroff और लाजर
BlueNoroff, Lazarus Group का हिस्सा है और इसकी विविध संरचना और परिष्कृत आक्रमण तकनीकों का लाभ उठाता है। यह APT समूह SWIFT से जुड़े बैंकों और सर्वरों पर हमला करने के लिए जाना जाता है और यहां तक कि क्रिप्टोक्यूरेंसी सॉफ़्टवेयर [2] विकसित करने के लिए फ्रंट कंपनियों के निर्माण में भी भाग लिया। धोखेबाज ग्राहकों ने फिर वैध दिखने वाले ऐप इंस्टॉल किए और थोड़ी देर बाद उन्हें पिछले दरवाजे सहित अपडेट प्राप्त हुए।
APT समूह की यह शाखा तब से क्रिप्टोक्यूरेंसी स्टार्टअप्स पर हमला करने के लिए स्थानांतरित हो गई है। चूंकि अधिकांश क्रिप्टोक्यूरेंसी कंपनियां छोटे या मध्यम आकार के स्टार्टअप हैं, इसलिए वे अपनी आंतरिक सुरक्षा प्रणाली में बहुत अधिक पैसा निवेश नहीं कर सकते हैं। लाजर ने इसे पहचाना है और परिष्कृत सामाजिक इंजीनियरिंग विधियों के माध्यम से इसका फायदा उठाता है।
BlueNoroff एक वेंचर कैपिटल फर्म होने का दिखावा करती है
पीड़ित का विश्वास हासिल करने के लिए, BlueNoroff एक वेंचर कैपिटल फर्म होने का ढोंग करता है। Kaspersky के शोधकर्ताओं ने 15 से अधिक उद्यम पूंजी फर्मों की खोज की जिनके ब्रांड नाम और कर्मचारियों के नाम का SnatchCrypto अभियान के दौरान दुरुपयोग किया गया था। सुरक्षा विशेषज्ञों के अनुसार, वास्तविक कंपनियों का इस हमले या ईमेल से कोई लेना-देना नहीं है। स्टार्टअप्स के क्रिप्टो क्षेत्र को साइबर अपराधियों द्वारा एक विशेष कारण से चुना गया था: स्टार्टअप्स को अक्सर अज्ञात स्रोतों से पत्र या फाइलें प्राप्त होती हैं। इस वजह से, यह बहुत संभव है कि एक उद्यम कंपनी आपको एक अनुबंध या व्यवसाय से संबंधित अन्य फाइलें भेजेगी। Lazarus APT अभिनेता इसका उपयोग ईमेल में अटैचमेंट खोलने के लिए पीड़ितों को बरगलाने के लिए एक फंदे के रूप में करता है - एक मैक्रो-सक्षम दस्तावेज़।
यदि ऐसा दस्तावेज़ ऑफ़लाइन खोला जाता है, तो इन फ़ाइलों से कोई खतरा नहीं होता है। हालाँकि, यदि फ़ाइल खोले जाने के समय कंप्यूटर इंटरनेट से जुड़ा है, तो पीड़ित के डिवाइस पर एक अन्य मैक्रो-सक्षम दस्तावेज़ डाउनलोड किया जाता है और मैलवेयर इंस्टॉल हो जाता है।
BlueNoroff व्यापक आक्रमण पद्धति का उपयोग करता है
BlueNoroff APT समूह के पास अपने समझौता शस्त्रागार में विभिन्न तरीके हैं और स्थिति के आधार पर संक्रमण श्रृंखला को तदनुसार डिजाइन करता है। दुर्भावनापूर्ण वर्ड दस्तावेज़ों के अलावा, अभिनेता ज़िप्ड विंडोज़ शॉर्टकट फ़ाइलों के रूप में प्रच्छन्न मैलवेयर भी वितरित करता है। यह पीड़ित की जानकारी और पॉवरशेल एजेंट को बैकडोर बनाकर वापस भेज देता है। इनके माध्यम से, BlueNoroff पीड़ित पर नज़र रखने के लिए अन्य दुर्भावनापूर्ण टूल का उपयोग करता है: एक कीलॉगर और एक स्क्रीनशॉट टूल।
हमलावर तब अपने पीड़ितों को हफ्तों और महीनों तक ट्रैक करते हैं। वे वित्तीय चोरी की रणनीति की योजना बनाते समय कीस्ट्रोक्स एकत्र करते हैं और उपयोगकर्ता के दैनिक कार्यों की निगरानी करते हैं। एक बार जब उन्हें एक प्रमुख लक्ष्य मिल जाता है जो क्रिप्टो वॉलेट (जैसे मेटामास्क एक्सटेंशन) को प्रबंधित करने के लिए एक लोकप्रिय ब्राउज़र एक्सटेंशन का उपयोग करता है, तो वे इसके मुख्य घटक को नकली संस्करण से बदल देते हैं।
लेन-देन की प्रक्रिया को रोका और बदला जाता है
कास्परस्की के विशेषज्ञों के अनुसार, एक बड़े हस्तांतरण का पता चलते ही हमलावरों को एक सूचना मिल जाती है। जब समझौता किया गया उपयोगकर्ता किसी अन्य खाते में राशि स्थानांतरित करने का प्रयास करता है, तो वे लेन-देन प्रक्रिया को रोकते हैं और अपना स्वयं का तर्क सम्मिलित करते हैं। आरंभिक भुगतान पूरा करने के लिए, उपयोगकर्ता फिर "स्वीकार करें" बटन पर क्लिक करता है। उस समय, साइबर अपराधी प्राप्तकर्ता का पता बदल देते हैं और लेन-देन की राशि को अधिकतम कर देते हैं; एक झटके में खाता खाली हो जाता है।
कास्परस्की की ग्लोबल रिसर्च एंड एनालिसिस टीम (जीआरएटी) के वरिष्ठ सुरक्षा शोधकर्ता सेओंगसु पार्क ने कहा, "चूंकि हमलावर डिजिटल समझौता करने के नए तरीके खोज रहे हैं, यहां तक कि छोटे व्यवसायों को भी अपने कर्मचारियों को बुनियादी साइबर सुरक्षा प्रथाओं में प्रशिक्षित करना चाहिए।" "विशेष रूप से जब कंपनियां क्रिप्टोकाउंक्शंस का उपयोग कर रही हैं, तो यह ध्यान रखना महत्वपूर्ण है कि वे एपीटी अभिनेताओं और साइबर अपराधियों के लिए एक आकर्षक लक्ष्य हैं। इसलिए, यह क्षेत्र विशेष रूप से सुरक्षा के योग्य है।"
Kaspersky.com पर अधिक
Kaspersky के बारे में Kaspersky 1997 में स्थापित एक अंतरराष्ट्रीय साइबर सुरक्षा कंपनी है। Kaspersky की डीप थ्रेट इंटेलिजेंस और सुरक्षा विशेषज्ञता दुनिया भर में व्यवसायों, महत्वपूर्ण बुनियादी ढांचे, सरकारों और उपभोक्ताओं की सुरक्षा के लिए नवीन सुरक्षा समाधानों और सेवाओं की नींव के रूप में कार्य करती है। कंपनी के व्यापक सुरक्षा पोर्टफोलियो में जटिल और उभरते साइबर खतरों से बचाव के लिए अग्रणी एंडपॉइंट सुरक्षा और विशेष सुरक्षा समाधानों और सेवाओं की एक श्रृंखला शामिल है। 400 मिलियन से अधिक उपयोगकर्ता और 250.000 कॉर्पोरेट ग्राहक Kaspersky प्रौद्योगिकियों द्वारा सुरक्षित हैं। www.kaspersky.com/ पर Kaspersky के बारे में अधिक जानकारी