Noord-Koreaanse hackers hebben miljoenen gestolen van startups met cryptocurrency wereldwijd

criptomoneda Nachrichten

Exploitanten die zijn geassocieerd met de Lazarus-subgroep BlueNoroff zijn in verband gebracht met een reeks cyberaanvallen gericht op kleine en middelgrote bedrijven over de hele wereld met als doel hun cryptocurrency-fondsen leeg te pompen, in wat alweer een financieel gemotiveerde operatie is die is opgezet door de productieve door de Noord-Koreaanse staat gesponsorde acteur.

Het Russische cyberbeveiligingsbedrijf Kaspersky, dat de inbraken volgt onder de naam “SnatchCrypto” merkte op dat de campagne sinds 2017 loopt, en voegt eraan toe dat de aanvallen gericht zijn op startups in de FinTech-sector in China, Hong Kong, India, Polen, Rusland, Singapore, Slovenië, Tsjechië, de VAE, de VS , Oekraïne en Vietnam.

“De aanvallers hebben op subtiele wijze misbruik gemaakt van het vertrouwen van de werknemers die bij gerichte bedrijven werken door hen een volledig uitgeruste Windows-achterdeur met bewakingsfuncties te sturen, vermomd als een contract of een ander zakelijk dossier”, aldus de onderzoekers. zei. “Om uiteindelijk de crypto-portemonnee van het slachtoffer leeg te maken, heeft de acteur uitgebreide en gevaarlijke middelen ontwikkeld: complexe infrastructuur, exploits en malware-implantaten.”

BlueNoroff, en de grotere Lazarus-paraplu, zijn bekend voor het inzetten van een divers arsenaal aan malware voor een meervoudige aanval op bedrijven om op illegale wijze fondsen te verwerven, waaronder het vertrouwen op een mix van geavanceerde phishingtactieken en geavanceerde malware, voor het door sancties getroffen Noord-Koreaanse regime en het genereren van inkomsten voor zijn kernwapens en ballistische raketprogramma’s.

Deze cyberoffensieven werpen in elk geval hun vruchten af. Volgens een nieuw rapport gepubliceerd door blockchain-analysebedrijf Chainalysis, is de Lazarus Group in verband gebracht met zeven aanvallen op cryptocurrency-platforms die alleen al in 2021 bijna $ 400 miljoen aan digitale activa hebben gewonnen, een stijging van $ 300 miljoen in 2020.

Cryptocurrency-hackers

“Deze aanvallen waren voornamelijk gericht op beleggingsondernemingen en gecentraliseerde beurzen” […] om geld over te hevelen uit de internetverbinding van deze organisaties ‘hot’ portemonnees naar door de DVK gecontroleerde adressen”, aldus de onderzoekers. “Toen Noord-Korea de fondsen eenmaal in bewaring kreeg, begonnen ze een zorgvuldig witwasproces om het te verbergen en uit te betalen” via mixers om het spoor te verduisteren.

Gedocumenteerde kwaadwillende activiteiten waarbij de actor van de natiestaat betrokken is, hebben de vorm aangenomen van cyberaanvallen op buitenlandse financiële instellingen, met name de SWIFT-banknetwerkhacks in 2015-2016, met recente campagnes die resulteerden in de inzet van een achterdeur genaamd AppleJeus die zich voordoet als een cryptocurrency-handelsplatform om te plunderen en geld over te schrijven naar hun rekeningen.

Cryptocurrency-hackers

De SnatchCrypto-aanvallen zijn niet anders omdat ze deel uitmaken van de inspanningen van de acteur gericht op het “stalken en bestuderen” van cryptocurrency-bedrijven door uitgebreide social engineering-schema’s te verzinnen om vertrouwen op te bouwen met hun doelen door zich voor te doen als legitieme durfkapitalistische bedrijven, alleen om de slachtoffers te lokken het openen van met malware doorspekte documenten die een payload ophalen die is ontworpen om een ​​kwaadaardig uitvoerbaar bestand uit te voeren dat via een versleuteld kanaal van een externe server is ontvangen.

Een alternatieve methode die wordt gebruikt om de infectieketen te activeren, is het gebruik van Windows-snelkoppelingsbestanden (“.LNK”) om de malware van de volgende fase op te halen, een Visual Basic-script, dat vervolgens fungeert als startpunt om een ​​reeks tussenliggende payloads uit te voeren, voordat u een volledig uitgeruste achterdeur installeert die wordt geleverd met “verrijkte” mogelijkheden om schermafbeeldingen te maken, toetsaanslagen op te nemen, gegevens uit de Chrome-browser te stelen en willekeurige opdrachten uit te voeren.

Cryptocurrency-hackers

Het uiteindelijke doel van de aanvallen is echter om financiële transacties van de gecompromitteerde gebruikers te controleren en cryptocurrency te stelen. Als een potentieel doelwit een Chrome-extensie zoals Metamask gebruikt om crypto-wallets te beheren, gaat de tegenstander heimelijk over om het hoofdonderdeel van de extensie lokaal te vervangen door een nepversie die de operators waarschuwt telkens wanneer een grote overdracht naar een ander account wordt gestart.

In de laatste fase worden de fondsen vervolgens omgeleid door een kwaadaardige code-injectie uit te voeren om de transactiegegevens op verzoek te onderscheppen en te wijzigen. “De aanvallers wijzigen niet alleen de ontvanger [wallet] adres, maar duw ook de hoeveelheid valuta tot het uiterste, waardoor de rekening in feite in één beweging wordt leeggemaakt, “de onderzoekers uitgelegd.

“Cryptocurrency is een zwaar gerichte sector als het gaat om cybercriminaliteit vanwege het gedecentraliseerde karakter van de valuta’s en het feit dat, in tegenstelling tot creditcard- of bankoverschrijvingen, de transactie snel gebeurt en onmogelijk ongedaan kan worden gemaakt”, Erich Kron, pleitbezorger voor veiligheidsbewustzijn bij KnowBe4, zei in een verklaring.

“Nationale staten, vooral die met strikte tarieven of andere financiële beperkingen, kunnen enorm profiteren van het stelen en manipuleren van cryptocurrency. Vaak kan een cryptocurrency-portemonnee meerdere soorten cryptocurrency bevatten, waardoor ze een zeer aantrekkelijk doelwit zijn”, voegde Kron eraan toe.

David
Rate author
Hackarizona