Nordkoreanske hackere har ændret deres metoder i en eskalering af deres cyberkrigsførelsestaktikker. De anvender nu phishing-e-mails som et primært værktøj til at målrette mod kryptovalutafirmaer.
En nylig rapport fra cybersikkerhedsforskningsfirmaet SentinelLabs har forbundet denne ændring med BlueNoroff, en berygtet undergruppe inden for Lazarus-gruppen.
Nordkoreanske hackere skifter til phishing i ‘Hidden Risk’-kampagnen
BlueNoroff er kendt for omfattende cyberkriminalitet rettet mod at finansiere Nordkoreas atom- og våbeninitiativer. Den nye kampagne, kaldet ‘Hidden Risk’, afslører et strategisk skifte fra social media grooming til mere direkte, e-mail-baseret infiltration.
Hackerne har intensiveret deres bestræbelser i ‘Hidden Risk’-kampagnen ved at bruge målrettede phishing-e-mails. Forklædt som krypto nyhedsalarmer om Bitcoin-kurser eller opdateringer om decentraliseret finans (DeFi) tendenser, lokker disse e-mails modtagere til at klikke på tilsyneladende legitime links. Når der klikkes, leverer disse links malware-inficerede applikationer til brugernes enheder, hvilket giver angriberne direkte adgang til følsomme virksomhedsdata.
“Kampagnen, som vi har kaldt ‘Hidden Risk’, bruger e-mails, der spreder falske nyheder om kryptovalutatendenser til at inficere mål via en ondsindet applikation forklædt som en PDF-fil,” læs rapporten.
Malwaren i ‘Hidden Risk’-kampagnen er bemærkelsesværdigt avanceret og omgår effektivt Apples indbyggede sikkerhedsprotokoller. Ved at bruge legitime Apple Developer ID’er undgår den macOS’s Gatekeeper-system, hvilket har vakt betydelig bekymring blandt cybersikkerhedseksperter.
Nordkoreanske hackere har traditionelt støttet sig til omfattende social media grooming for at opbygge tillid med ansatte hos krypto- og finansfirmaer. Ved at engagere sig med mål på platforme som LinkedIn og Twitter skabte de illusionen af legitime professionelle relationer. Selvom effektiv, var denne tålmodige metode tidskrævende, hvilket førte til et skifte mod hurtigere, malware-baserede taktikker.
Nordkoreas hackingaktiviteter er intensiveret, da kryptovalutasektoren fortsætter med at vokse. I øjeblikket værdisat til over 2,6 billioner dollars, er kryptovalutaområdet et attraktivt mål for nordkoreanske statsstøttede hackere. SentinelLabs’ rapport fremhæver, hvordan dette miljø er særligt udsat for cyberangreb, hvilket gør det til et lukrativt jagtområde for Lazarus.
En voksende trussel mod kryptoindustrien
Ifølge en nylig advarsel fra FBI har nordkoreanske hackere fokuseret på DeFi og børsnoterede fondsfirmaer (ETF). De udnytter social engineering og phishing-kampagner rettet direkte mod ansatte inden for disse sektorer. Advarslerne har opfordret firmaer til at styrke deres sikkerhedsprotokoller og har især rådet til at krydstjekke klient wallet-adresser mod kendte hacker-forbundne adresser.
BeInCrypto rapporterede også, hvordan Lazarus-gruppen har lært at omgå vestlige sanktioner. De manipulerede smuthuller i internationale reguleringer for at lette krypto-baseret hvidvaskning af penge. En betydelig milepæl i denne tidslinje var anvendelsen af RailGun-privatlivsprotokollen, som tilbyder anonyme transaktioner på Ethereum-blockchainen.
Den amerikanske regering har ikke været passiv i reaktion på Nordkoreas eskalerede cyberkampagner. Finansministeriet sanktionerede krypto-mixingtjenesten Tornado Cash, idet de citerede dens rolle i at hjælpe nordkoreanske hackere med at skjule ulovlige transaktioner. Tornado Cash, ligesom RailGun, giver brugere mulighed for at anonymisere kryptovalutabevægelser, hvilket giver hackere et kraftfuldt værktøj til at dække deres spor.
Sanktionerne var en del af en bredere nedslagning, der fremhæver, hvordan Nordkoreas krypto-relaterede aktiviteter bliver et væsentligt fokuspunkt for vestlige regeringer. Tidspunktet for disse sanktioner falder sammen med Nordkoreas intensiverede aktiviteter i kryptovalutasektoren, især gennem Lazarus.
Med den avancerede sofistikation af den nye ‘Hidden Risk’-kampagne rådgiver SentinelLabs macOS-brugere og organisationer, især dem, der er involveret i kryptovaluta, til at øge sikkerhedsforanstaltningerne. De anbefaler, at virksomheder udfører grundige malware-scanninger, krydstjekker udviklersignaturer og undgår at downloade vedhæftede filer fra uopfordrede e-mails.
Disse proaktive skridt er afgørende for at beskytte mod stadig mere kompleks malware designet til at forblive skjult i systemer.
Disclaimer
Alle oplysninger på vores hjemmeside offentliggøres i god tro og kun til generelle informationsformål. Enhver handling, der foretages af læserne på grundlag af oplysningerne på vores hjemmeside, er udelukkende på egen risiko.
