Nul
De noord-koreaanse hackers proberen te verspreiden malware op te slaan Bitcoin, zeggen onderzoekers.
Beeld: iStock
Een productieve cyber criminele bende met links naar Noord-Korea is gericht op medewerkers in cryptocurrency bedrijven in een poging om te stelen van bitcoin.
De spear-phishing aanvallen worden gedacht aan het werk van De Lazarus-Groep, een hack werking verondersteld geassocieerd te worden met Noord-Korea. De cyber werking is eerder al gekoppeld aan high-profile aanvallen, waaronder de WannaCry ransomware uitbraak, een $80m Bangladesh cyber bank heist en 2014 ‘ s van Sony Pictures hack.
Ontdekt door Secureworks, de aanvallen zijn gericht op werknemers in ten minste één in Londen gevestigde cryptocurrency bedrijf, in wat de onderzoekers suggereren is een poging tot het stelen van bitcoin.
“Onze gevolgtrekking is gebaseerd op de vorige activiteit is dat dit het doel van de aanval, met name in het licht van de recente rapportage uit andere bronnen dat Noord-Korea heeft een toegenomen focus op bitcoin en het verkrijgen van bitcoin,” Rafe Pilling, senior security researcher bij Secureworks vertelde ZDNet.
Een enkele eenheid van bitcoin is momenteel een waarde van meer dan $17, 500, waardoor het een waardevolle doelwit voor hackers en cybercriminelen.
De onderzoekers concludeerden dat Noord-Korea heeft aangetoond actieve interesse in Bitcoin sinds ten minste 2013, met gebruikersnamen en IP-adressen in Noord-Korea regelmatig gekoppeld aan onderzoek naar de cryptocurrency, evenals de strafrechtelijke en spionage campagnes te verwerven.
De laatste ronde van de cyber-aanvallen richt zich op financiële managers van cryptocurrency bedrijven met een phishing e-mail afkomstig lijkt te bevatten informatie over een Chief Financial Officer positie.
Het bericht bevat een Microsoft Word-bijlage, die bij opening van de gebruiker vertelt ze nodig hebben om te bewerken inschakelen om het document. Als de gebruiker volgt de instructie, het kan een verborgen kwaadaardige macro voor het uitvoeren van de volgende fase van de aanval.
Het inschakelen van de inhoud kan de schadelijke macro te beginnen werken.
Afbeelding: Secureworks
Deze macro creëert een aparte blanco document met de beschrijving voor een nep-CFO-rol op een Europese Bitcoin bedrijf – de valstrik blijkt gebaseerd te zijn op de LinkedIn-profiel van een werkelijke CFO bij een cryptocurrency bedrijf in het Verre Oosten. De onderzoekers concludeerden dat de Lazarus-Groep heeft eerder al bekend te kopiëren en te plakken functiebeschrijvingen van recruitment sites als onderdeel van een eerdere campagnes.
Zie ook: Wat is phishing? Alles wat je moet weten om jezelf te beschermen tegen scam e-mails en meer
Terwijl de gebruiker op zoek is naar dit document, een Remote Access Trojan is geïnstalleerd in de achtergrond, waardoor de aanvallers volledige toegang tot de computer van het slachtoffer en die het voor de aanvaller om het downloaden van aanvullende malware op elk punt.
De nep-beschrijving van het werk te kopiëren en plakken van een soortgelijke legitieme rol.
Afbeelding: Secureworks
Onderzoekers zeggen dat de malware gebruikt wordt in deze specifieke campagne lijkt te zijn een nieuwe vorm van trojaans paard, mogelijk gemaakt voor deze aanslagen.
Niettemin, de malware verschijnt een aantal elementen met eerdere aanvallen van de Lazarus-Groep, zoals vertrouwen op onderdelen van de C2-protocol voor de communicatie met de command en control servers. Dit heeft geleid tot de Secureworks Teller Bedreiging Eenheid toeschrijven aan Lazarus en Noord-Korea met “groot vertrouwen”.
Pilling vertelde ZDNet dat de schakelaar in de focus naar die direct gericht zijn op cryptocurrency bedrijven in een poging om te stelen bitcoin toont van een verandering in de tactiek voor de Lazarus-Groep.
“Het interessante is hier dat de techniek en de tactiek wordt gebruikt sinds afgelopen zomer markeert een verandering in de aard van de verleiding en de aard van de targeting. Eerder, Lazarus gebruikt defensie-thema kunstaas te richten defensie-organisaties, maar nu gebruiken ze bitcoin-thema kunstaas tot doel bedrijven in de financiële sector,” zei hij.
Onderzoekers zijn nog steeds onderzoek naar de omvang van de campagne, maar het is de gedachte dat de phishing e-mails begon te worden verdeeld in eind oktober en dat de aanslagen zijn nog steeds lopende.
Om zich te beschermen tegen het slachtoffer te worden van dit soort phishing en malware distributie campagne, Secureworks beveelt aan dat de opleiding op social engineering is verstrekt, macro ‘ s in Word-documenten zijn uitgeschakeld en twee-factor authenticatie is geïmplementeerd in systemen.
LEES MEER OVER CYBER CRIME
Ransomware is bitcoin probleem: Hoe de stijging betekent een hoofdpijn voor crooksBitcoin exchange NiceHash verliest miljoenen voor hackers [CNET]De riskante onderneming van bitcoin: High-profile cryptocurrency catastrofes van 2017WannaCry ransomware: Hackers achter global cyberaanval eindelijk geld uit bitcoin windfallWhy ransomware aanvallen maken Bitcoin duurder voor iedereen [TechRepublic]
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0