FBI, US Treasury en CISA waarschuwen voor Noord-Koreaanse hackers die zich richten op blockchain-bedrijven

Hackers nord-coréens Nachrichten

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), samen met het Federal Bureau of Investigation (FBI) en het ministerie van Financiën, waarschuwden voor een nieuwe reeks aanhoudende cyberaanvallen die door de Lazarus Group werden uitgevoerd en die zich op blockchain-bedrijven richtten.

Het activiteitencluster aanroepen HandelaarVerraderBij de infiltraties is de door de Noord-Koreaanse staat gesponsorde APT-acteur (Advanced Persistent Threat) betrokken die sinds ten minste 2020 entiteiten aanvalt die actief zijn in de Web3.0-industrie.

Gerichte organisaties zijn onder meer cryptocurrency-uitwisselingen, gedecentraliseerde financiële (DeFi) -protocollen, play-to-earn cryptocurrency-videogames, cryptocurrency-handelsbedrijven, durfkapitaalfondsen die investeren in cryptocurrency en individuele houders van grote hoeveelheden cryptocurrency of waardevolle non-fungible tokens (NFT’s) .

De aanvalsketens beginnen wanneer de dreigingsactor via verschillende communicatieplatforms contact opneemt met slachtoffers om hen te verleiden tot het downloaden van bewapende cryptocurrency-apps voor Windows en macOS, en vervolgens de toegang gebruikt om de malware over het netwerk te verspreiden en vervolgactiviteiten uit te voeren om privésleutels te stelen en initieer malafide blockchain-transacties.

„Intrusies beginnen met een groot aantal spear-phishing-berichten die worden verzonden naar werknemers van cryptocurrency-bedrijven“, luidt het advies. „De berichten bootsen vaak een wervingsinspanning na en bieden goedbetaalde banen om de ontvangers te verleiden om malware-geregen cryptocurrency-applicaties te downloaden.“

Noord-Koreaanse hackers die zich richten op blockchain

Dit is verre van de eerste keer dat de groep aangepaste malware heeft ingezet om cryptocurrency te stelen. Andere campagnes die door de Lazarus Group zijn opgezet, bestaan ​​uit Operatie AppleJeus, SnatchCrypto en, meer recentelijk, het gebruik van getrojaniseerde DeFi-portemonnee-apps om Windows-machines te backdoor.

De dreiging van TraderTraitor omvat een aantal nep-crypto-apps die zijn gebaseerd op open-sourceprojecten en beweren software voor het verhandelen van cryptovaluta of prijsvoorspelling te zijn, om vervolgens de Manuscrypt-trojan voor externe toegang af te leveren, een stukje malware dat eerder was gekoppeld aan de hackcampagnes van de groep tegen de cryptocurrency- en mobiele games-industrie.

De lijst met kwaadaardige apps staat hieronder:

  • DAFOM (dafom)[.]ontwikkelaar)
  • TokenAIS (tokenai)[.]com)
  • CryptAIS (cryptais[.]com)
  • AlticGO (alticgo[.]com)
  • Esilet (esilet)[.]com), en
  • CreAI Deck (creaideck)[.]com)

De onthulling komt minder dan een week nadat het ministerie van Financiën de cryptocurrency-diefstal van het Ronin-netwerk van Axie Infinity toeschreef aan de Lazarus Group, waarbij het portemonnee-adres dat werd gebruikt om het gestolen geld te ontvangen, werd gesanctioneerd.

„Noord-Koreaanse door de staat gesponsorde cyberactoren gebruik een volledige reeks tactieken en technieken om computernetwerken van belang te exploiteren, gevoelige cryptocurrency-intellectuele eigendom te verwerven en financiële activa te verkrijgen“, aldus de agentschappen.

„Deze actoren zullen waarschijnlijk doorgaan met het misbruiken van kwetsbaarheden van cryptocurrency-technologiebedrijven, gamingbedrijven en uitwisselingen om geld te genereren en wit te wassen om het Noord-Koreaanse regime te ondersteunen.“

David
Rate author
Hackarizona