Microsoft попереджає, що північнокорейська хакерська група BlueNoroff налаштовує нову інфраструктуру атак для майбутніх кампаній соціальної інженерії на LinkedIn. Ця фінансово мотивована група загроз також має задокументовану історію атак з крадіжки криптовалюти, націлених на співробітників криптовалютних компаній.
Вибравши свої цілі після першого контакту в LinkedIn, хакери BlueNoroff створюють бекдор у своїх системах, розгортаючи зловмисне програмне забезпечення, приховане в шкідливих документах, які надсилаються через приватні повідомлення в різних соціальних мережах.
«Загрозливий актор, якого Microsoft відстежує як Сапфір Сліт, відомий крадіжкою криптовалюти за допомогою соціальної інженерії, протягом останніх кількох тижнів створив нові веб-сайти, що маскуються під портали оцінки навичок, знаменуючи зміну тактики наполегливого актора», — повідомляє служба безпеки Microsoft Threat Intelligence. експерти.
«Сапфір Сліт зазвичай знаходить цілі на таких платформах, як LinkedIn, і використовує спокуси, пов’язані з оцінкою навичок. Потім виконавець загрози переміщує успішні комунікації з цілями на інші платформи».
Раніше державні хакери Північної Кореї були помічені в розповсюдженні шкідливих вкладень безпосередньо або за допомогою посилань на сторінки, розміщені на законних веб-сайтах, таких як GitHub. Проте Microsoft вважає, що швидке виявлення та видалення шкідливих файлів зловмисників із законних онлайн-сервісів спонукало хакерів BlueNoroff створити власні веб-сайти, здатні розміщувати шкідливі корисні навантаження.
Ці веб-сайти захищені паролем, щоб перешкодити спробам аналізу, і закамуфльовані під портали оцінки навичок, які закликають рекрутерів зареєструвати обліковий запис.
Хто такий BlueNoroff?
Раніше цього тижня дослідники безпеки Jamf Threat Labs пов’язали BlueNoroff із новим зловмисним програмним забезпеченням ObjCShellz macOS, яке використовується для бекдору цільових комп’ютерів Mac шляхом відкриття віддалених оболонок на скомпрометованих пристроях.
За останні роки BlueNoroff пов’язані із серією атак на криптовалютні стартапи та фінансові організації по всьому світу, зокрема в США, Росії, Китаї, Індії, Великобританії, Україні, Польщі, Чехії, ОАЕ, Сінгапурі, Естонії, В’єтнамі, Мальті, Німеччині та Гонконгу.
Крім того, ФБР приписало хакерським групам Lazarus і BlueNoroff найбільший криптозлом в історії — злам мережевого мосту Ronin Axie Infinity. Зловмисники викрали 173 600 токенів Ethereum і 25,5 мільйонів USDC на суму понад 617 мільйонів доларів.
Чотири роки тому у звіті Організації Об’єднаних Націй було підраховано, що державні хакери Північної Кореї, включаючи BlueNoroff, уже вкрали близько 2 мільярдів доларів США в результаті принаймні 35 кібератак, спрямованих на банки та криптовалютні біржі в більш ніж десятку країн.
У 2019 році Міністерство фінансів США також застосувало санкції до BlueNoroff і двох інших північнокорейських хакерських груп (Lazarus Group і Andariel) за передачу вкрадених фінансових активів уряду Північної Кореї. Джерело