Частина групи Lazarus розробила складну інфраструктуру, експлойти та імплантати шкідливих програм. Зловмисник BlueNoroff виснажує облікові записи стартапів у криптовалюті. BlueNoroff використовує комплексну методологію атаки.
Дослідники безпеки Касперського виявили серію атак учасника програми Advanced Persistent Threat (APT) BlueNoroff на малий і середній бізнес по всьому світу. У процесі жертви зазнали великих збитків у криптовалюті. Кампанія під назвою «SnatchCrypto» націлена на різні компанії, що займаються криптовалютами, а також смарт-контрактами, DeFi, блокчейном і індустрією FinTech.
В останній кампанії BlueNoroff, яка займається загрозами, зловмисники хитро використовували довіру співробітників до цільових компаній, надсилаючи їм повноцінний бекдор Windows із можливостями моніторингу під виглядом «контракту» або іншого бізнес-файлу. Щоб спустошити криптогаманець жертви, актор розробив великі та шкідливі ресурси, включаючи складну інфраструктуру, експлойти та імплантати шкідливого програмного забезпечення.
БлуНорофф і Лазарус
BlueNoroff є частиною Lazarus Group і використовує її диверсифіковану структуру та складні технології атак. Ця група APT відома тим, що атакувала банки та сервери, підключені до SWIFT, і навіть брала участь у створенні підставних компаній для розробки програмного забезпечення для криптовалют [2]. Потім ошукані клієнти встановлювали програми, що виглядають законно, і через деякий час отримували оновлення, включаючи бекдор.
Відтоді ця гілка групи APT перейшла до атаки на криптовалютні стартапи. Оскільки більшість криптовалютних компаній є невеликими або середніми стартапами, вони не можуть інвестувати багато грошей у свою внутрішню систему безпеки. Lazarus визнав це і використовує це за допомогою складних методів соціальної інженерії.
BlueNoroff прикидається фірмою венчурного капіталу
Щоб завоювати довіру жертви, BlueNoroff прикидається фірмою венчурного капіталу. Дослідники Kaspersky виявили понад 15 компаній венчурного капіталу, чиї торгові марки та імена співробітників були використані зловживанням під час кампанії SnatchCrypto. За словами експертів з безпеки, реальні компанії не мають жодного стосунку до цієї атаки чи електронних листів. Криптосфера стартапів була обрана кіберзлочинцями з певної причини: стартапи часто отримують листи або файли з невідомих джерел. Через це цілком можливо, що венчурна компанія надішле вам договір або інші файли, пов’язані з бізнесом. Актор Lazarus APT використовує це як приманку, щоб обманом змусити жертв відкрити вкладення електронної пошти – документ із підтримкою макросів.
Якщо такий документ відкривається в автономному режимі, ці файли не становлять загрози.Однак якщо під час відкриття файлу комп’ютер підключений до Інтернету, на пристрій жертви завантажується інший документ із підтримкою макросів і встановлюється шкідливе програмне забезпечення.
BlueNoroff використовує комплексну методологію атаки
Група BlueNoroff APT має у своєму арсеналі різні методи компрометації та розробляє ланцюг зараження відповідно до ситуації. Окрім шкідливих документів Word, актор також розповсюджує зловмисне програмне забезпечення, замасковане під заархівовані файли ярликів Windows. Це повертає інформацію жертви та агент Powershell, створюючи бекдор. За допомогою них BlueNoroff використовує інші шкідливі інструменти для спостереження за жертвою: кейлоггер і інструмент для створення скріншотів.
Потім зловмисники стежать за своїми жертвами протягом тижнів і місяців. Вони збирають натискання клавіш і контролюють щоденні операції користувача, плануючи стратегію фінансової крадіжки. Коли вони знаходять відому ціль, яка використовує популярне розширення браузера для керування криптогаманцями (наприклад, розширення Metamask), вони замінюють його основний компонент на підроблену версію.
Процес транзакції перехоплюється та змінюється
За словами фахівців Касперського, зловмисники отримують сповіщення, щойно виявляється велика передача. Коли скомпрометований користувач намагається переказати суму на інший рахунок, він перехоплює процес транзакції та вставляє власну логіку. Щоб завершити ініційований платіж, користувач натискає кнопку «Підтвердити». У цей момент кіберзлочинці змінюють адресу одержувача та максимізують суму транзакції; рахунок спустошується одним махом.
«Оскільки зловмисники продовжують знаходити нові способи цифрового компромісу, навіть малі підприємства повинні навчати своїх співробітників базовим практикам кібербезпеки», — сказав Сеонгсу Пак, старший дослідник із безпеки Глобальної дослідницько-аналітичної групи Kaspersky (GReAT). «Окремо, коли компанії використовують криптовалюти, важливо відзначити, що вони є привабливою мішенню для учасників APT і кіберзлочинців. Тому ця територія особливо варта охорони».
Більше на Kaspersky.com
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/