Северокорейская хакерская группа крадет миллионы, выдавая себя за японских венчурных капиталистов и банков

27 декабря этого года «Лаборатория Касперского» объявила, что северокорейская хакерская группа BlueNoroff украла миллионы долларов в криптовалютах после создания более 70 поддельных доменов, выдающих себя за банки и фирмы венчурного капитала.

Согласно опросу, большинство доменов выдавали себя за японские венчурные компании, что свидетельствует о большом интересе к данным о пользователях и компаниях в этой стране.

«После исследования используемой инфраструктуры мы обнаружили более 70 доменов, используемых этой группой, что означает, что они были очень активны до недавнего времени. Кроме того, они создали несколько поддельных доменов, которые выглядят как домены венчурного капитала и банковские домены».

Группа Bluenoroff усовершенствовала свои методы заражения

Еще несколько месяцев назад группа BlueNoroff использовала документы Word для внедрения вредоносных программ. Однако недавно они улучшили свои методы, создав новый пакетный файл Windows, который позволяет им расширить область действия и режим выполнения своего вредоносного ПО.

Эти новые файлы .bat обходят меры безопасности Windows Mark-of-the-Web (MOTW) — скрытую метку, прикрепляемую к файлам, загруженным из Интернета, чтобы защитить пользователей от файлов из ненадежных источников.

После тщательного расследования в конце сентября «Лаборатория Касперского» подтвердила, что помимо использования новых скриптов группа BlueNoroff начала использовать файлы образов дисков .iso и .vhd для распространения вирусов.

«Лаборатория Касперского» также обнаружила, что пользователь из Объединенных Арабских Эмиратов стал жертвой группы BlueNoroff после загрузки документа Word под названием «Shamjit Client Details Form.doc», который позволил хакерам подключиться к его компьютеру и извлечь информацию, пока они пытались выполнить даже более мощное вредоносное ПО.

После входа в компьютер хакеры «попытались снять отпечатки пальцев жертвы и установить дополнительное вредоносное ПО с повышенными привилегиями», но жертва выполнила несколько команд для сбора основной системной информации, предотвратив дальнейшее распространение вредоносного ПО.

Методы взлома становятся все более опасными

Хотите верьте, хотите нет, но в отчетах говорится, что Северная Корея лидирует в мире по крипто-преступности. В сообщениях говорится, что северокорейские хакеры смогли украсть криптовалюту на сумму более 1 миллиарда долларов до мая 2022 года. Крупнейшая группа, Lazarus, была выделена как ответственная за крупномасштабные фишинговые атаки и методы распространения вредоносных программ.

После кражи более 620 миллионов долларов у Axie Infinity северокорейская хакерская группа Lazarus, одна из крупнейших хакерских групп в мире, собрала достаточно денег, чтобы улучшить свое программное обеспечение до такой степени, что они создали продвинутую схему криптовалюты через домен. под названием bloxholder.com, который они использовали в качестве прикрытия для кражи закрытых ключей многих своих «клиентов».

Как сообщает Microsoft, в последние годы количество атак, нацеленных на криптовалютные организации с целью получения более высоких вознаграждений, увеличилось, поэтому атаки стали более сложными, чем раньше.

Один из последних методов, используемых хакерами через группы Telegram, заключается в отправке зараженных файлов, замаскированных под электронные таблицы Excel, содержащие структуры комиссий биржевых компаний в качестве крючка.

Когда жертвы открывают файлы, они загружают ряд программ, которые позволяют хакеру получить удаленный доступ к зараженному устройству, будь то мобильное устройство или ПК.