2022.01.19. 15:00
Kriptovalutára utazik a hackercsoport
Kis és közepes méretű vállalkozások elleni támadássorozatra bukkantak a Kaspersky szakértői.
Forrás: Shutterstock
A fejlett állandó fenyegetésekkel támadó BlueNoroff hackercsoport támadásai következtében az áldozatok komoly kriptovaluta-veszteségeket szenvednek el világszerte. A SnatchCrypto nevű kampány célpontjai olyan vállalatok, amelyek a tevékenységük jellegéből adódóan kriptovalutákkal és okos szerződésekkel, decentralizált finanszírozással (DeFi), blokklánc-technológiával és a FinTech iparággal foglalkoznak.
A BlueNoroff legújabb kampányának keretében a támadók ravasz módon élnek vissza a célba vett vállalatoknál dolgozók bizalmával: egy megfigyelőfunkcióval rendelkező teljes funkcionalitású Windows hátsó kaput küldenek nekik egy „szerződés” vagy más üzleti fájl álcája alatt. Az áldozat kriptotárcájának kiürítéséhez a támadók átfogó és veszélyes erőforrásokat dolgoztak ki: komplex infrastruktúrát, exploitokat és beépülő malware-eket.
A Lazarus-csoport részeként tevékenykedő BlueNoroff diverzifikált struktúrát és kifinomult támadási technológiákat alkalmaz. A fejlett állandó fenyegetésekkel támadó Lazarus hackercsoport a SWIFT-rendszerbe tartozó bankok és szerverek elleni támadásokról ismert, sőt még kriptovaluta-szoftver fejlesztő kamucégek létrehozásában is részt vett. A becsapott ügyfelek feltelepítették a törvényesnek kinéző alkalmazásokat, majd egy kis idő múlva hátsó kapuval ellátott frissítéseket kaptak.
A Lazarus „fiókcége” most a kriptovalutával foglalkozó startupok elleni támadásokra állt át. Mivel a kriptovalutával foglalkozó vállalkozások többsége kis és közepes méretű startup, nem tud rengeteg pénzt fektetni a belső biztonsági rendszerébe. A támadó tisztában van ezzel, és alaposan kidolgozott pszichológiai manipulációs módszerekkel az előnyére is fordítja a helyzetet.
Cégek nevével élnek vissza
Az áldozat bizalmának elnyeréséhez a BlueNoroff létező kockázatitőke-társaságnak adja ki magát. A Kaspersky kutatói több mint 15 olyan kockázatitőke-vállalkozást találtak, amelynek márkanevével és alkalmazottai nevével a SnatchCrypto kampányban visszaéltek. A Kaspersky szakemberei úgy vélik, hogy a valódi cégeknek semmi közük nincs ezekhez a támadásokhoz vagy az e-mailekhez.
A kiberbűnözők jó okkal választották a startupos kriptoszférát: a startupok gyakran kapnak leveleket vagy fájlokat ismeretlen forrásokból, például egy kockázatitőke-társaság is küldhet nekik szerződést vagy egyéb üzleti vonatkozású fájlokat. A támadó ezt használja csalinak ahhoz, hogy az áldozatok megnyissák az e-mailben található mellékletet: egy olyan dokumentumot, amelyben engedélyezve vannak a makrók.
(Kriptovalutával foglalkozó startupokat vesznek célba)
