Parte del gruppo Lazarus ha sviluppato infrastrutture complesse, exploit e impianti di malware. L'attore della minaccia BlueNoroff prosciuga gli account di avvio di criptovaluta. BlueNoroff utilizza una metodologia di attacco completa.
I ricercatori di sicurezza di Kaspersky hanno scoperto una serie di attacchi dell'attore BlueNoroff di Advanced Persistent Threat (APT) a piccole e medie imprese in tutto il mondo. Le vittime hanno subito ingenti perdite di criptovaluta nel processo. Soprannominata "SnatchCrypto", la campagna si rivolge a varie società coinvolte in criptovalute, contratti intelligenti, DeFi, blockchain e industria FinTech.
Nell'ultima campagna dell'attore di minacce BlueNoroff, gli aggressori hanno sfruttato astutamente la fiducia dei dipendenti nelle aziende bersaglio inviando loro una vera e propria backdoor di Windows con funzionalità di monitoraggio con il pretesto di un "contratto" o di un altro file aziendale. Per svuotare il portafoglio crittografico di una vittima, l'attore ha sviluppato risorse estese e dannose, tra cui infrastrutture complesse, exploit e impianti di malware.
BlueNoroff e Lazzaro
BlueNoroff fa parte del gruppo Lazarus e sfrutta la sua struttura diversificata e le sofisticate tecnologie di attacco. Questo gruppo APT è noto per attaccare banche e server collegati a SWIFT e ha persino partecipato alla creazione di società di copertura per sviluppare software di criptovaluta [2]. I clienti ingannati hanno quindi installato app dall'aspetto legittimo e dopo un po' hanno ricevuto aggiornamenti tra cui una backdoor.
Da allora questo ramo del gruppo APT si è spostato per attaccare le startup di criptovaluta. Poiché la maggior parte delle società di criptovaluta sono startup di piccole o medie dimensioni, non possono investire molti soldi nel loro sistema di sicurezza interno. Lazarus lo ha riconosciuto e lo sfrutta attraverso sofisticati metodi di ingegneria sociale.
BlueNoroff finge di essere una società di capitali di rischio
Per guadagnare la fiducia della vittima, BlueNoroff finge di essere una società di capitali di rischio. I ricercatori di Kaspersky hanno scoperto oltre 15 società di capitali di rischio i cui nomi di marchi e nomi dei dipendenti sono stati utilizzati in modo improprio durante la campagna SnatchCrypto. Secondo gli esperti di sicurezza, le aziende reali non hanno nulla a che fare con questo attacco o con le e-mail. La sfera crypto delle startup è stata scelta dai criminali informatici per un motivo ben preciso: le startup spesso ricevono lettere o file da fonti sconosciute. Per questo motivo, è del tutto possibile che una società di venture capital ti invii un contratto o altri file relativi all'attività. L'attore di Lazarus APT lo utilizza come esca per indurre le vittime ad aprire l'allegato nell'e-mail, un documento abilitato per le macro.
Se un documento di questo tipo viene aperto offline, questi file non rappresentano una minaccia.Tuttavia, se un computer è connesso a Internet al momento dell'apertura del file, un altro documento abilitato per le macro viene scaricato sul dispositivo della vittima e il malware viene installato.
BlueNoroff utilizza una metodologia di attacco completa
Il gruppo BlueNoroff APT dispone di vari metodi nel proprio arsenale di compromesso e progetta la catena di infezione di conseguenza a seconda della situazione. Oltre ai documenti Word dannosi, l'attore distribuisce anche malware camuffato da file di collegamento di Windows compressi. Questo restituisce le informazioni della vittima e l'agente Powershell, creando una backdoor. Attraverso questi, BlueNoroff utilizza altri strumenti dannosi per monitorare la vittima: un keylogger e uno strumento di screenshot.
Gli aggressori seguono quindi le loro vittime per settimane e mesi. Raccolgono le sequenze di tasti e monitorano le operazioni quotidiane dell'utente mentre pianificano una strategia per il furto finanziario. Una volta trovato un obiettivo importante che utilizza una popolare estensione del browser per gestire i portafogli crittografici (come le estensioni Metamask), sostituiscono il suo componente principale con una versione falsa.
Il processo di transazione viene intercettato e alterato
Secondo gli esperti di Kaspersky, gli aggressori ricevono una notifica non appena viene rilevato un trasferimento di grandi dimensioni. Quando l'utente compromesso tenta di trasferire un importo su un altro conto, intercetta il processo di transazione e inserisce la propria logica. Per completare il pagamento avviato, l'utente fa clic sul pulsante "Approva". In quel momento, i criminali informatici cambiano l'indirizzo del destinatario e massimizzano l'importo della transazione; il conto si svuota in un colpo solo.
"Poiché gli aggressori continuano a trovare nuovi modi di compromissione digitale, anche le piccole imprese dovrebbero formare i propri dipendenti sulle pratiche di sicurezza informatica di base", ha affermato Seongsu Park, ricercatore senior sulla sicurezza nel Global Research and Analysis Team (GReAT) di Kaspersky. “In particolare quando le aziende utilizzano le criptovalute, è importante notare che sono un obiettivo interessante per gli attori APT e i criminali informatici. Pertanto, questa zona è particolarmente degna di protezione.
Altro su Kaspersky.com
A proposito di Kaspersky Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/