Nordkoreanska hackare har ändrat sina metoder i en eskalering av deras cyberkrigföringstaktik. De använder nu phishing-e-post som huvudverktyg för att rikta in sig på kryptoföretag.
En nyligen publicerad rapport från cybersäkerhetsforskningsföretaget SentinelLabs kopplar denna förändring till BlueNoroff, en ökänd undergrupp inom Lazarus-gruppen.
Nordkoreanska hackare växlar till nätfiske i ‘Dolda Risker’-kampanjen
BlueNoroff är känd för omfattande cyberbrott som syftar till att finansiera Nordkoreas kärnvapen- och vapeninitiativ. Den nya kampanjen, kallad ‘Hidden Risk’, visar en strategisk förändring från sociala medier till mer direkt, e-postbaserad infiltration.
Hackarna har intensifierat sina ansträngningar i ‘Hidden Risk’-kampanjen genom att använda mycket riktade phishing-e-postmeddelanden. Förklädda som kryptonhetsvarningar om Bitcoin-priser eller uppdateringar om decentraliserad finansiering (DeFi), lockar dessa e-postmeddelanden mottagarna att klicka på till synes legitima länkar. När de klickas på levererar dessa länkar skadliga applikationer till användarnas enheter, vilket ger angriparna direkt tillgång till känslig företagsdata.
“Kampanjen, som vi kallar ‘Hidden Risk’, använder e-postmeddelanden som sprider falska nyheter om kryptotrender för att infektera mål via en skadlig applikation förklädd till en PDF-fil,” står det i rapporten läs.
Malware i ‘Hidden Risk’-kampanjen är särskilt sofistikerad och kringgår effektivt Apples inbyggda säkerhetsprotokoll. Genom att använda legitima Apple Developer ID:n undviker den macOS:s Gatekeeper-system, vilket har väckt betydande oro bland cybersäkerhetsexperter.
Nordkoreanska hackare har traditionellt förlitat sig på omfattande sociala medier för att bygga förtroende med anställda på krypto- och finansföretag. Genom att engagera sig med mål på plattformar som LinkedIn och Twitter skapade de illusionen av legitima professionella relationer. Även om effektivt, var denna metod tidskrävande, vilket ledde till en övergång till snabbare, malware-baserade taktiker.
Nordkoreas hackningsaktiviteter har intensifierats eftersom kryptosektorn fortsätter att växa. För närvarande värderad till över 2,6 biljoner USD, är kryptorummet ett attraktivt mål för nordkoreanska statssponsrade hackare. SentinelLabs rapport belyser hur denna miljö är särskilt utsatt för cyberattacker, vilket gör den till ett lukrativt jaktområde för Lazarus.
Ett växande hot mot kryptoindustrin
Enligt en nylig varning från FBI fokuserar nordkoreanska hackare på DeFi- och börshandlade fondföretag (ETF). De utnyttjar social ingenjörskonst och phishing-kampanjer riktade direkt mot anställda inom dessa sektorer. Varningarna har uppmanat företagen att förstärka sina säkerhetsprotokoll och särskilt rått dem att kontrollera klientplånboksadresser mot kända hackarrelaterade adresser.
BeInCrypto rapporterade också hur Lazarus-gruppen har lärt sig att kringgå västerländska sanktioner. De manipulerade kryphål i internationella regler för att underlätta kryptobaserad penningtvätt. Ett betydande steg i denna tidslinje var användningen av RailGun-sekretessprotokollet, som erbjuder anonyma transaktioner på Ethereum-blockkedjan.
USA:s regering har inte varit passiv som svar på Nordkoreas eskalerade cyberkampanjer. Finansdepartementet sanktionerade kryptoblandningstjänsten Tornado Cash, med hänvisning till dess roll i att hjälpa nordkoreanska hackare att dölja olagliga transaktioner. Tornado Cash, liknande RailGun, låter användare anonymisera kryptorörelser, vilket ger hackare ett kraftfullt verktyg för att dölja sina spår.
Sanktionerna var en del av en bredare nedslagning, vilket understryker hur Nordkoreas kryptorelaterade aktiviteter blir en betydande fokuspunkt för västerländska regeringar. Tidpunkten för dessa sanktioner sammanfaller med Nordkoreas intensifierade aktiviteter inom kryptosektorn, särskilt genom Lazarus.
Med tanke på sofistikationen i den nya ‘Hidden Risk’-kampanjen råder SentinelLabs macOS-användare och organisationer, särskilt de som är involverade i kryptovaluta, att höja säkerhetsåtgärderna. De rekommenderar att företag genomför noggranna malware-skanningar, kontrollerar utvecklarsignaturer och undviker att ladda ner bilagor från oönskade e-postmeddelanden.
Dessa proaktiva steg är avgörande för att skydda mot alltmer komplexa malware som är utformade för att förbli dolda inom system.
Disclaimer
All information på vår webbplats publiceras i god tro och endast för allmän information. Varje åtgärd som läsaren vidtar baserat på informationen på vår webbplats sker strikt på egen risk.
