Kaspersky, laboratoř pro kybernetickou bezpečnost, upozorňuje na obnovenou phishingovou taktiku skupiny BlueNoroff. Hackeři jsou sponzorováni Severní Koreou, která je finančně motivována profitovat ze svých kyberútoků proti finančním firmám, včetně kryptoentit.
BlueNoroff vytvořil více než 70 falešných domén, které napodobují rizikového kapitálu firmy a banky. Většina podvodníků se prezentovala jako známé japonské firmy. Přesto někteří tvrdili, že jsou ze Spojených států a Vietnamu.
Skupina BlueNoroff často injektuje malware prostřednictvím dokumentů aplikace Word a souborů zástupců. Jejich nejnovější malware se může vyhnout vlajce Mark-of-the-Web (MOTW).
Zpráva Kaspersky odhalila, že skupina BlueNoroff experimentuje s novými druhy souborů a dalšími metodami distribuce malwaru.
Po instalaci jeho malware obchází bezpečnostní varování MOTW systému Windows o stahování obsahu. Poté virus zachytí velké množství kryptoměna převody, změna adresy peněženky příjemce a zvýšení částky převodu na maximální limit, vyčerpání účtu v jediné transakci.
Seongsu Park, výzkumník společnosti Kaspersky, zaznamenal prudký nárůst kybernetických útoků v roce 2023. Park zdůraznil, že s příchodem nových škodlivých kampaní musí být podniky bezpečnější než kdy jindy.
Tlak severokorejských hackerů na bezpečnost
Projekt Severokorejská hrozba herec poprvé zasáhl bangladéšskou centrální banku v roce 2016 a byl v hledáčku amerických kybernetických bezpečnostních služeb zemí.
Federální úřad pro vyšetřování (FBI) Spojených států ve spolupráci s Agenturou pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) doporučil všem americkým kryptoměnovým společnostem, aby posílily svou bezpečnostní architekturu proti potenciálním útočníkům ze strany severokorejských hackerů.
Nedávná zpráva o zabezpečení skupiny IB odhalil že od roku 2017 bylo státem podporovanou skupinou Lazarus ukradeno z krypto burz přes 882 milionů dolarů.
Skupina je údajně zodpovědná za březnové zneužití Ronin Bridge v hodnotě 600 milionů dolarů a nedávno bylo zjištěno, že používá více než 500 domén k pokusu o krádež nezaměnitelných tokenů (NFT).
Bohužel, krypto burzy nejsou jedinými oběťmi těchto korejských hackerů. Zpráva Group-IB také odhalila, že od roku 10 bylo ukradeno více než 2017 % finančních prostředků z primárních nabídek (ICO).
Součást větší operace?
Pokoj 39 je a tajná organizace v rámci severokorejské vlády, která je zodpovědná za vytváření cizí měny z nelegálních zdrojů pro zemi. Existují důkazy o tom, že se podílí na řadě nezákonných činností, včetně padělání a obchodu s drogami, jakož i dalších nezákonných podniků, jako je např. prodeje zbraní a hackování.
Severokorejští přeběhlíci říkají, že je provozována z budovy v hlavním městě Pchjongjangu a v jejím čele prý stojí členové rodiny Kimů, kteří v Severní Koreji drželi moc po tři generace.
Přesná povaha a rozsah činnosti Místnosti 39 jsou zahaleny tajemstvím, protože funguje v tajnosti kvůli nelegální povaze operací. Pravděpodobně jde o klíčový zdroj financování severokorejské diktatury a má se za to, že je zodpovědný za generování stovek milionů dolarů v temných penězích každý rok.
Předpokládá se, že organizace má rozsáhlé mezinárodní vazby a může vyvážet otrockou práci do evropských zemí, aby využily vyšších nákladů na pracovní sílu v EU ve srovnání s východní Asií.
Severní Korea je dlouhodobě pod sankcemi vedenými USA, což vytváří tlak na její přístup k devizovým rezervám. Díky obchodování s nelegálními obchody založenými na hotovosti má národ přístup k likvidním prostředkům, což může být důvod, proč severokorejští hackeři v tuto chvíli hledají další kryptoměny.
Další shon pro Severní Koreu
Není možné vědět, zda je za probíhajícími hacky místnost 39, ale Severní Korea je známá černý obchod které zvyšují likvidní aktiva. Dalším dlouhodobým nezákonným obchodem pro Severní Koreu je výroba a vývoz metamfetaminu, o kterém přeběhlík z národa tvrdí, že byl provedeno na základě přímých příkazů Kim Čong-ila.
Pervitin je hojně užíván místním obyvatelstvem. Podle některých odhadů až polovina obyvatel Severní Koreje užívá drogu, který se také ve velkém vyváží. Sousední země jako Čína jsou hlavními exportními trhy, ale jiné země jako USA zadržely severokorejské zásilky pervitinu.
Podobně jako u kryptohacků, ilegální podniky, jako je výroba pervitinu, se pravděpodobně těší ze sponzorství severokorejského státu, takže je pravděpodobné, že budou pokračovat bez překážek.
Zdroj: https://crypto.news/kaspersky-north-korean-hackers-mimic-crypto-vcs-in-new-phishing-scheme/