Nordkoreanske hackere har endret metodene sine i en eskalering av deres cyberkrigsføringstaktikker. De bruker nå phishing-e-poster som et hovedverktøy for å målrette seg mot kryptoselskaper.
En nylig rapport fra cybersikkerhetsforskningsfirmaet SentinelLabs knytter denne endringen til BlueNoroff, en beryktet undergruppe innen Lazarus-gruppen.
Nordkoreanske hackere skifter til phishing i ‘Skjult Risiko’-kampanje
BlueNoroff er kjent for omfattende cyberkriminalitet rettet mot å finansiere Nord-Koreas kjernefysiske og våpeninitiativer. Den nye kampanjen, kalt ‘Hidden Risk’, avslører en strategisk vending fra sosiale medier til mer direkte, e-postbasert infiltrering.
Hackerne har intensivert innsatsen i ‘Hidden Risk’-kampanjen ved å bruke svært målrettede phishing-e-poster. Forkledd som kryptovaluta nyhetsvarsler om Bitcoin kurs eller oppdateringer om desentraliserte finans (DeFi) trender, lokker disse e-postene mottakere til å klikke på tilsynelatende legitime lenker. Når de klikkes på, leverer disse lenkene malware-ladde applikasjoner til brukernes enheter, noe som gir angriperne direkte tilgang til sensitiv bedriftsdata.
“Kampanjen, som vi har kalt ‘Hidden Risk’, bruker e-poster som sprer falske nyheter om kryptotrender for å infisere mål via en ondsinnet applikasjon forkledd som en PDF-fil,” står det i rapporten.
Malwaren i ‘Hidden Risk’-kampanjen er bemerkelsesverdig sofistikert og omgår effektivt Apples innebygde sikkerhetsprotokoller. Ved å bruke legitime Apple Developer ID-er, unngår den macOSs Gatekeeper-system, noe som har vekket betydelig bekymring blant cybersikkerhetseksperter.
Nordkoreanske hackere har tradisjonelt stolt på omfattende sosiale medier for å etablere tillit med ansatte i krypto- og finansfirmaer. Ved å engasjere seg med mål på plattformer som LinkedIn og Twitter, skapte de illusjonen av legitime profesjonelle forhold. Selv om effektiv, var denne tålmodige metoden tidkrevende, noe som førte til en overgang mot raskere, malware-baserte taktikker.
Nord-Koreas hackingaktiviteter har intensivert ettersom kryptosektoren fortsetter å vokse. For tiden verdsatt til over $ 2,6 billioner, er kryptorommet et attraktivt mål for nordkoreanske statssponsede hackere. SentinelLabs’ rapport fremhever hvordan dette miljøet er spesielt utsatt for cyberangrep, noe som gjør det til et lukrativt jaktområde for Lazarus.
En økende trussel mot kryptoindustrien
Ifølge en nylig FBI advarsel, har nordkoreanske hackere fokusert på DeFi og børsnoterte fond (ETF-er). De utnytter sosial manipulering og phishing-kampanjer rettet direkte mot ansatte innen disse sektorene. Advarslene har oppfordret firmaer til å styrke sine sikkerhetsprotokoller og har spesielt rådet til å kryssjekke klient lommebokadresser mot kjente hacker-koblede adresser.
BeInCrypto rapporterte også hvordan Lazarus-gruppen har lært å omgå vestlige sanksjoner. De manipulerte smutthull i internasjonale reguleringer for å fasilitere krypto-basert hvitvasking av penger. Et betydelig tidspunkt i denne tidslinjen var bruken av RailGun personvernsprotokollen, som gir anonyme transaksjoner på Ethereum-blokkjeden.
Den amerikanske regjeringen har ikke vært passiv i responsen på Nord-Koreas eskalerte cyberkampanjer. Finansdepartementet sanksjonerte kryptomikser-tjenesten Tornado Cash, og siterte dens rolle i å hjelpe nordkoreanske hackere med å skjule ulovlige transaksjoner. Tornado Cash, lik RailGun, lar brukere anonymisere kryptobevegelser, og gir hackerne et kraftig verktøy for å dekke sine spor.
Sanksjonene var en del av en bredere nedslagning, som understreker hvordan Nord-Koreas krypto-relaterte aktiviteter blir et betydelig fokuspunkt for vestlige regjeringer. Tidspunktet for disse sanksjonene sammenfaller med Nord-Koreas intensiverte aktiviteter i kryptosektoren, spesielt gjennom Lazarus.
Gitt sofistikasjonen av den nye ‘Hidden Risk’-kampanjen, råder SentinelLabs macOS-brukere og organisasjoner, spesielt de som er involvert i kryptovaluta, til å øke sikkerhetstiltakene. De anbefaler at selskaper gjennomfører grundige malware-skanninger, kryssjekker utviklersignaturer, og unngår å laste ned vedlegg fra uoppfordrede e-poster.
Disse proaktive tiltakene er essensielle for å beskytte mot stadig mer kompleks malware designet for å holde seg skjult i systemer.
Disclaimer
Alle informatie op onze website wordt te goeder trouw en uitsluitend voor algemene informatiedoeleinden gepubliceerd. Elke actie die de lezer onderneemt op basis van de informatie op onze website is strikt op eigen risico.
