Noll
Nordkoreanska hackare försöker sprida skadlig kod för att lagra Bitcoin, säger forskare.
Bild: iStock
En produktiv cyber kriminella gäng med länkar till Nordkorea riktar anställda på cryptocurrency företag i ett försök att stjäla bitcoin.
Den spear-phishing-attacker är tänkt att vara ett verk av Lazarus Grupp, en hacka drift tros vara associerade med Nordkorea. It-driften har tidigare varit kopplade till hög profil attacker, bland annat WannaCry ransomware utbrott, en $80 Bangladesh cyber bankrån och 2014 är Sony Pictures hack.
Upptäckt av Secureworks, attacker riktade anställda vid minst ett London-baserat cryptocurrency företag, i vad som forskare menar är ett försök att stjäla bitcoin.
“Vår slutsats baserad på föregående aktivitet är att detta är målet för attack, särskilt i ljuset av den senaste tidens rapportering från andra källor om att Nordkorea har ett ökat fokus på bitcoin och få bitcoin,” Rafe Pilling, högre säkerhet forskare vid Secureworks berättade ZDNet.
En enda enhet av bitcoin är för närvarande värd över $17, 500, vilket gör det till ett värdefullt mål för hackare och cyberbrottslingar.
Forskarna notera att Nordkorea har visat aktivt intresse i Bitcoin sedan åtminstone 2013, med användarnamn och IP-adresser i Nordkorea regelbundet med koppling till forskning i cryptocurrency, liksom kriminella och spionage kampanjer för att förvärva det.
Den senaste omgången av it-attacker mål finansiella befattningshavare i cryptocurrency företag med en phishing e-post som utger sig för att innehålla information om en Chief Financial Officer position.
Meddelandet innehåller ett Microsoft Word-bilagan, som när den öppnas berättar för användaren som de behöver för att aktivera redigering för att se dokumentet. Om användaren följer instruktionerna, det gör en dold skadlig makro för att genomföra nästa steg i attacken.
Aktivera innehåll gör att det skadliga makro för att börja arbeta.
Bild: Secureworks
Detta makro skapar en separat figuranten dokument som innehåller en beskrivning för en falsk CFO-rollen på ett Eu-baserat Bitcoin företag – figuranten verkar vara baserad på LinkedIn-profil av en faktisk CFO på en cryptocurrency företag i Fjärran Östern. Forskare observera att Lasarus Grupp har tidigare varit kända för att kopiera och klistra in arbetsbeskrivningar från rekrytering webbplatser som en del av tidigare kampanjer.
Se även: Vad är nätfiske? Allt du behöver veta för att skydda dig från bedrägeri post och mycket mer
Samtidigt som användaren tittar på detta dokument, en Remote Access-Trojan installeras i bakgrunden, som ger angriparna med full tillgång till offrets dator och gör det möjligt för angripare att hämta ytterligare skadlig kod på någon punkt.
Den falska arbetsbeskrivning som ser ut att vara en kopiera och klistra in en liknande legitima roll.
Bild: Secureworks
Forskare säger att den skadliga kod som används i den aktuella kampanjen ser ut att vara en ny form av trojan, potentiellt utformad för dessa attacker.
Icke desto mindre skadlig kod visas att dela vissa delar med tidigare attacker av Lazarus Grupp, såsom att förlita sig på delar av C2-protokollet för att kommunicera med ledning och styrning av servrar. Detta har lett till Secureworks Motverka Hot Enhet tillskriva det till Lazarus och Nordkorea med “högt förtroende”.
Pilling berättade ZDNet att växla fokus till direkt riktade cryptocurrency företag i ett försök att stjäla bitcoin visar på en förändring i taktik för Lazarus-Gruppen.
“Det intressanta här är att den teknik och den taktik som används för sedan förra sommaren markera en förändring i den typ av drag och vilken typ av inriktning. Tidigare, Lazarus som används för försvars-tema lockar till mål försvar organisationer, men att de nu använder bitcoin-tema lockar till mål-finansiella företag”, sade han.
Forskare håller fortfarande på att undersöka omfattningen av kampanjen, men det är tänkt att de phishing e-post började distribueras i slutet av oktober och att angrepp är fortfarande pågående.
För att skydda mot att falla offer för denna typ av phishing och malware distribution kampanj, Secureworks rekommenderar att utbildning på social ingenjörskonst finns, makron i Word-dokument är funktionshindrade och två-faktor autentisering genomförs i centrala system.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Ransomware är bitcoin problem: Hur kursuppgången innebär en huvudvärk för crooksBitcoin utbyte NiceHash förlorar miljoner för hackare [MAG]riskfyllt om bitcoin: Hög profil cryptocurrency katastrofer av 2017WannaCry ransomware: Hackare bakom den globala cyberattack äntligen ut pengar bitcoin windfallWhy ransomware attacker är att göra Bitcoin dyrare för alla [TechRepublic]
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0