Pohjoiskorealaiset hakkerit ovat muuttaneet menetelmiään kybersodankäynnin taktiikoidensa eskaloitumisen myötä. He käyttävät nyt ensisijaisena työkalunaan kalasteluviestejä kryptovaluuttayritysten kohteena.
Tuore raportti kyberturvallisuustutkimusyritys SentinelLabsilta yhdistää tämän muutoksen BlueNoroffiin, joka on pahamaineinen alaryhmä Lazarus-ryhmässä.
Pohjoiskorealaiset hakkerit kääntyvät phishingiin ‘Piilotettu riski’ -kampanjassa
BlueNoroff on tunnettu laajamittaisista kyberrikoksista, jotka tähtäävät Pohjois-Korean ydin- ja aseohjelmien rahoittamiseen. Uusi kampanja, jota kutsutaan ‘Hidden Riskiksi’, paljastaa strategisen käänteen sosiaalisen median groomaamisesta suorempaan, sähköpostipohjaiseen tunkeutumiseen.
Hakkerit ovat tehostaneet ponnistelujaan ‘Hidden Risk’ -kampanjassa käyttämällä erittäin kohdennettuja kalasteluviestejä. Naamioituna kryptovaluuttauutishälytyksiksi Bitcoinin hinnoista tai päivityksistä hajautetun rahoituksen (DeFi) trendeissä, nämä sähköpostit houkuttelevat vastaanottajia klikkaamaan näennäisesti laillisia linkkejä. Klikattuaan nämä linkit toimittavat haittaohjelmia sisältäviä sovelluksia käyttäjien laitteisiin, antaen hyökkääjille suoran pääsyn arkaluonteisiin yritystietoihin.
“Kampanja, jonka nimesimme ‘Hidden Riskiksi’, käyttää sähköposteja levittämään väärää tietoa kryptovaluuttatrendeistä tartuttaakseen kohteet haittaohjelmalla, joka on naamioitu PDF-tiedostoksi,” raportti lukee.
‘Hidden Risk’ -kampanjan haittaohjelma on erityisesti kehittynyt, ja se ohittaa tehokkaasti Applen sisäänrakennetut turvaprotokollat. Käyttämällä laillisia Apple Developer ID:tä, se välttää macOS:n Gatekeeper-järjestelmän, mikä on herättänyt merkittävää huolta kyberturvallisuusasiantuntijoiden keskuudessa.
Pohjoiskorealaiset hakkerit ovat perinteisesti luottaneet monimutkaiseen sosiaalisen median groomaamiseen luodakseen luottamusta krypto- ja rahoitusalan yritysten työntekijöiden kanssa. Vuorovaikutuksessa kohteiden kanssa alustoilla kuten LinkedIn ja Twitter, he loivat illuusion laillisista ammatillisista suhteista. Vaikka tämä menetelmä oli tehokas, se oli aikaa vievää, mikä johti siirtymiseen nopeampiin, haittaohjelmapohjaisiin taktiikoihin.
Pohjois-Korean hakkerointitoimet ovat kiihtyneet, kun kryptovaluuttasektori jatkaa kasvuaan. Tällä hetkellä yli 2,6 biljoonan dollarin arvoisena kryptoavaruus on houkutteleva kohde Pohjois-Korean valtion tukemille hakkeriryhmille. SentinelLabsin raportti korostaa, kuinka tämä ympäristö on erityisen altis kyberhyökkäyksille, mikä tekee siitä tuottoisan metsästysmaan Lazarusille.
Kasvava uhka kryptovaluuttateollisuudelle
Äskettäisen FBI:n varoituksen mukaan Pohjois-Korean hakkerit ovat keskittyneet DeFi- ja pörssinoteerattuihin rahastoihin (ETF). He hyödyntävät sosiaalista manipulointia ja kalastelukampanjoita, jotka on suunnattu suoraan näiden sektoreiden työntekijöille. Varoitukset ovat kehottaneet yrityksiä vahvistamaan turvaprotokolliaan ja erityisesti neuvoneet tarkistamaan asiakkaan lompakon osoitteet tunnettuihin hakkeriosoitteisiin.
BeInCrypto raportoi myös, kuinka Lazarus-ryhmä on oppinut kiertämään länsimaisia pakotteita. He manipuloivat kansainvälisten sääntöjen porsaanreikiä helpottaakseen kryptopohjaista rahanpesua. Merkittävä virstanpylväs tässä aikajanassa oli RailGun-yksityisyysprotokollan käyttöönotto, joka mahdollistaa nimettömät transaktiot Ethereum-lohkoketjussa.
Yhdysvaltain hallitus ei ole ollut passiivinen vastauksessaan Pohjois-Korean eskaloituneisiin kyberkampanjoihin. Valtiovarainministeriö asetti pakotteita kryptovaluutan sekoituspalvelulle Tornado Cash, viitaten sen rooliin auttaessa Pohjois-Korean hakkerit peittämään laittomia transaktioita. Tornado Cash, samankaltainen kuin RailGun, mahdollistaa käyttäjille kryptovaluuttaliikkeiden anonymisoinnin, tarjoten hakkerille voimakkaan työkalun jälkien peittämiseen.
Pakotteet olivat osa laajempaa puhdistusta, joka korostaa, kuinka Pohjois-Korean kryptoon liittyvät toimet ovat muodostumassa merkittäväksi keskittymäksi länsimaiden hallituksille. Näiden pakotteiden ajoitus vastaa Pohjois-Korean tehostettua toimintaa kryptosektorilla, erityisesti Lazarusin kautta.
Ottaen huomioon uuden ‘Hidden Risk’ -kampanjan kehittyneisyyden, SentinelLabs neuvoo macOS-käyttäjiä ja organisaatioita, erityisesti niitä, jotka ovat mukana kryptovaluutassa, korottamaan turvatoimiaan. He suosittelevat, että yritykset suorittavat perusteellisia haittaohjelmatarkistuksia, tarkistavat kehittäjien allekirjoitukset ja välttävät liitetiedostojen lataamista pyytämättömistä sähköposteista.
Nämä ennakoivat toimet ovat välttämättömiä suojautuakseen yhä monimutkaisemmilta haittaohjelmilta, jotka on suunniteltu pysymään piilossa järjestelmissä.
Vastuuvapauslauseke
Kaikki verkkosivustollamme olevat tiedot julkaistaan vilpittömässä mielessä ja ainoastaan yleiseen tiedottamiseen. Lukijan on toimittava verkkosivustomme tietojen perusteella täysin omalla vastuullaan.
